重要インフラを狙うマルチエクスプロイト攻撃 何が怖いのか
価値のある情報を持つ企業は、独立して動く複数の攻撃者から狙われる恐れがある。対策は難しい。なぜならマルチパーティー・マルチエクスプロイト攻撃を受けるからだ。
重要インフラを狙う「マルチパーティー・マルチエクスプロイト攻撃」が危険な水準に達している。
マルチエクスプロイト攻撃は何が怖いのか
マルチパーティーとは国家から支援を受けた複数の高度な攻撃者が、似たような戦術や技術、手順を含む攻撃を仕掛けるという状態だ。ではマルチエクスプロイトとは何だろうか。
2023年初めに起きた航空業界への攻撃(注1)では別々の攻撃者がそれぞれ別の脆弱性(マルチエクスプロイト)を使った。この2つの脆弱性は互いに無関係だった。
このような攻撃に対して米国の当局はどう反応したのだろうか。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と連邦捜査局(FBI)、サイバーナショナルミッションフォース(CNMF)は、Zoho製品とFortinet製品に存在する2つの既知の脆弱(ぜいじゃく)性を悪用した航空業界への攻撃について、2023年9月7日に共同勧告を発表した。
当局は航空業界に対する攻撃における被害者や攻撃者、国家を特定していない。また、特定の企業への攻撃に参加した攻撃者の数も明らかにしていない。重要なのはこれらの種類や数ではないからだ。
その代わり、共同勧告では米国の国家安全保障や経済安全保障、公共の安全にとって不可欠だと思われる組織に対して、攻撃者がどの程度まで協力しているのかを強調した。
Recorded Futureのアラン・リスカ氏(脅威インテリジェンスアナリスト兼ソリューションアーキテクト)は、次のように述べた。
「標的型攻撃や日和見的攻撃など、あらゆる組織、特に重要インフラとされる組織への攻撃範囲と規模は今日では圧倒的だ」
CISAのインシデント対応中に見つかった攻撃イベントのタイムラインでは、活動は2023年1月18日に始まり、7週間も続いた。
「攻撃者はしばしばインターネットに接続されたデバイスをスキャンし、簡単に悪用できる脆弱性を探す。ファイアウォールやVPN、その他のエッジネットワークインフラは、攻撃者の関心を集める。標的を絞った後は、標的へのネットワークアクセスを拡大するためにこれらを活用したり、悪意のあるインフラとして機能させたり、その両方が混在したりしている可能性がある」(リスカ氏)
当局によると、攻撃者は2023年1月中旬にある脆弱性を使った。IT資産を管理するZohoの「ManageEngine」のオンプレミス版で、第三者のリモートコード実行を可能にする「CVE-2022-47966」(注2)だ。
攻撃者は「Zoho ManageEngine ServiceDesk Plus」のパブリック向けインスタンスにアクセスして、マルウェアをダウンロードし、管理ユーザーの認証情報を収集して、被害者のネットワーク内を横方向に移動した。
CISAとFBI、CNMFは、2023年4月まで数カ月間続いた活動を把握していたものの、どのデータがアクセスされたのか、改ざんを受けたのか、流出したのかどうかを特定できなかった。当局によれば、標的となった組織はデータを集中管理しておらず、CISAのネットワークセンサーのカバー範囲も限られていた。
もう一つの脆弱性も一般的なものだった
共同勧告によると、他の攻撃者は2023年2月1日から、FortinetのFortiOSのヒープベースのバッファーオーバーフロー脆弱性「CVE-2022-42475」(注3)を悪用した。
この攻撃によって、正規の管理者アカウントの認証情報が漏えいし、組織のファイアウォール機器からデータが流出した。組織のWebサーバには攻撃者によって複数のWebシェルがインストールされた。
リスカ氏によれば、ある同一の被害者を標的とする複数の攻撃者が関与するサイバー攻撃は珍しくない。同じ種類の標的を狙う、国家と連携した攻撃者が複数存在する以上、必ず起こるという。
「航空宇宙産業は攻撃側にとって多大な価値があるため、複数の攻撃者が(別々の)脆弱性を悪用して、企業が保有するあらゆる情報にアクセスしようとしても、私は驚かない」(リスカ氏)。
出典:Aviation sector organization hit by exploit of CVE duo(Cybersecurity Dive)
注1:Multiple Nation-State Threat Actors Exploit CVE-2022-47966 and CVE-2022-42475(CISA)
注2:CVE-2022-47966 Detail(NIST)
注3:CVE-2022-42475 Detail(NIST)
© Industry Dive. All rights reserved.
関連記事
約8割の企業トップはサイバー防御力なし? 残念な調査結果
サイバー防御は企業全体の取り組みとしてごく当たり前になった。だが、成功しているとは必ずしも言えない。何が間違っているのだろうか。
ゼロデイ攻撃に「弱いIT」と「強いIT」 何が運命を左右するのか
ゼロデイ脆弱性を利用したサイバー攻撃は恐ろしい。攻撃を防ぐ「パッチ」がまだ公開されていないからだ。一見、防ぎようがない攻撃に見える。どのように対抗すればよいのだろうか。