【目次】
- Volt Tyhpoon攻撃の目的
- Volt Typhoonの攻撃手法、潜在的な影響、および緩和方法の分析
- 重要インフラにおけるVolt Typhoon防衛における潜在的な問題
- OT環境には、新しいオペレーション重視の防衛マインドが必要
- IT EDRのアプローチがOT環境に適さない理由
- TXOne CPSDR – レベル0からレベル3までの最終防衛ラインCPSDRとは
- レベル0からレベル3までの最後の防衛ライン
- TXOne Stellarによる適用可能なソリューション
- TXOneの適用可能なソリューション Edgeネットワーク防御
- まとめ
2023年5月24日、米国マイクロソフトとサイバーセキュリティ情報共有組織「ファイブ・アイズ・アライアンス」は共同でサイバーセキュリティアドバイザリーを開催し、Volt Typhoonとして知られる中国に拠点を置く国家支援行為者に関連する一連の活動を詳細に説明しました。
Volt Tyhpoon攻撃の目的
マイクロソフトが発表したブログ記事によると、これらの活動には、2021年半ばからグアムや米国の主要インフラ部門に対して行われている攻撃が含まれています。これらの活動は、通信、製造、公益事業、輸送、建設、海事、政府、IT、および教育セクターを標的としていました。破壊的な攻撃が行われたことを示す証拠はないため、このハッカー組織の主な目的は、情報を収集し、レーダーの下で存在感を示すことだと推測されます。
これにより、将来、この業界で特に懸念される危機が発生した場合に、米国とアジア地域との間の重要な通信インフラを侵害または破壊することが可能になります。Volt Typhoonインシデントは、以下の3つの重大なリスクを再認識させました:
新たな脅威
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)と国際的なサイバーセキュリティ当局が共同で発表したサイバーセキュリティアドバイザリーレポートによると、Volt Typhoonの主要な戦術、技術、手順(TTP)の1つは、既存のサイバー管理ツールを利用して目的を達成することです。
このTTPにより、攻撃者は通常のWindowsシステムやネットワークの活動に紛れ込むことで検知を回避し、EDR(Endpoint Detection and Response)製品によってサードパーティ製アプリケーションがホストに導入するアラートを回避し、デフォルトのログ構成で取得される活動量を制限することができます。例えば、攻撃者が使用する組み込みツールの中には、wmic、ntdsutil、netsh、PowerShellが含まれています。
このため、攻撃者は多くの行動指標を正当なシステム管理コマンドとして隠蔽できる可能性があり、IT EDRによる検出の難易度を高めています。
地政学的緊張
ロシア・ウクライナ紛争や台湾海峡の摩擦など、国際的な資源獲得競争や地政学的な緊張関係の中で、国家レベルのハッカーや政治的な動機を持つ組織が、激しい攻撃を仕掛けるようになってきました。この傾向については、「OTサイバーセキュリティレポート2022」でも報告しました。ロシア・ウクライナ紛争では、ワイパー攻撃とも呼ばれる、機械を破壊する直接的な攻撃がありました。
現在では、国家レベルの脅威行為者が環境寄生型攻撃(Living-off-the-Land Attack)を仕掛けてくることさえあります。主要製造業を含む重要インフラ関連産業は、警戒を強めなければなりません。地政学的な対立は、一見無関係に見える国々に影響を与える攻撃を引き起こし、巻き添え被害をもたらす可能性があります。例えば、ロシアとウクライナの紛争では、26カ国にマルウェア「Wiper」が拡散しました。
巻き添え被害
Volt Typhoonの特殊性は、米国とアジア間の重要な通信インフラを破壊する能力を獲得することを目的としている可能性があります。攻撃の観点からは、OT(Operational Technology)攻撃の多くはIT(Information Technology)インシデントに起因しており、私たちはこれをコラテラルダメージと呼んでいます。
当社の「OTサイバーセキュリティレポート2022」によると、ITとOTの統合が進む中、ITセキュリティインシデントの94%がOT環境にも影響を及ぼしています。70%の組織が悪意のある行為者によってデータや業務を人質に取られ、サイバーセキュリティインシデントが業務の中断やデータの乗っ取りにつながり、最終的に財務的な損失をもたらすことが実証されました。
Volt Typhoonの攻撃手法、潜在的な影響、および緩和方法の分析
現在の情報に基づくと、Volt Typhoon攻撃で特に危険なのは、防御機構に検知されることなく米国の主要インフラへの様々なアクセス権を維持する能力です。脅威行為者は、アンチウイルスソフトウェアの検出を回避しつつ、より正確に目的を達成するために、リビングオフザランドの技術や、コマンドを直接入力するハンズオンキーボードの攻撃モードに大きく依存しています。
そこで当社は、Volt Typhoonの攻撃手法、潜在的な影響、および緩和方法の分析を行い、その結果を提供することで、重要インフラのセキュリティ担当者が早期に対策を講じることを支援します。
テクニカル分析
公式レポートでは、関連ツールの使い方や具体的な内容について徹底的に解説します。特に、そのプロセスとそのユニークな特徴に焦点を当てます。大きく分けて、Volt Typhoonの運用はいくつかの主要なステップに分けることができます:
ステップ1:リソースの開発
この作戦は、攻撃者がASUS、CISCO、D-Link、NETGEAR、Zyxelなどの家庭用ルーター(SOHO機器)を標的とし、悪意のあるコマンド&コントロール(C&C)ステーションとして使用して、ターゲットへの攻撃を開始したことから始まりました。
ステップ2:初期アクセス
攻撃者は、Fortinet FortiGuardデバイスのゼロデイ脆弱性を利用し、重要インフラの内部ネットワークに直接接続できるデバイスへのアクセスを獲得します。
ステップ3:特権のエスカレーション
この侵害されたデバイスで、攻撃者は高い権限を持つAD認証情報を見つけ、Domain Controllerへのアクセスやその他のDomain関連サービスを簡単に利用できるようになり、高レベルの機密情報アクセス権限を素早く取得し、永続的な攻撃を開始することができます。
特筆すべきは、重要インフラシステム利用者は、各種デバイスやサービスにアクセスし、適切な権限で利用するよう注意喚起することです。一部のメーカーは、利便性のために、管理者権限でサービスを実行したり、権限をリンクすることをユーザーに推奨していますが、これは潜在的なセキュリティリスクをもたらす可能性がある行為であることが分かっています。
ステップ4:ディスカバリー
攻撃者は、ファイルシステムの種類、ドライブ名、サイズ、空き容量、実行中のプロセス、オープンネットワークなど、システム情報を発見しようとします。さらに、PowerShell、WMIC、Pingなどのコマンドを使用して、侵害されたネットワーク上の他のシステムを検出します。
ステップ5:収集と防御回避
攻撃者が内部ネットワークに侵入した後の目的は、その運用を妨害することではなく、可能な限り環境に潜伏し、関連情報を盗み出し、機会を待つことです。そのため、攻撃者は様々な生活技術やキーボードの実践的な操作により、発見される可能性を回避し、様々な足跡を消し、プロキシによりネットワークの痕跡を隠蔽しています。
そして、既存の様々なサービスを探索し、様々なファイルにアクセスし、より多くの認証情報を取得します。ここでは、Volt Typhoonの攻撃をシミュレートしたフローチャートを示します。
図 1. Volt Typhoon 模擬攻撃のフローチャート
現在表示されている情報を、図2のようにMITRE ATT&CK for Enterpriseにマッピングしています。当社の脅威調査分析・判断に基づき、採用された技術が関連付けられる可能性があるため、対応結果は公式発表と若干異なる場合があります。
図 2. MITRE ID に対応する Volt Typhoon
重要インフラにおけるVolt Typhoon防衛における潜在的な問題
現在のOT/ICSサイバーセキュリティの本質は、外部と内部の両方の課題により、本質的には弱いものであるとされています。外部の課題は、サプライチェーン資産への脅威から生じ、内部の課題は、IT部とその他の部署から生じます。例えば、多くのチームは、OT/ICSサイバーセキュリティの問題に対処するために、いまだにITサイバーセキュリティ・ソリューションに依存しています。
しかし、ITによる保護(例えば、IT EDR)が失敗すると、OT/ICSが影響を受ける可能性が非常に高くなります。過去の経験から、OT/ICSは一度攻撃を受けると、復旧に時間がかかり、経済的損失が大きくなることが分かっています。さらに、OT/ICSのサイバーセキュリティの専門家が不足していることも問題です。(ISC)² 2022 Cybersecurity Workforce Studyによると、世界は340万人のサイバーセキュリティ人材格差に直面しています。IT分野ではすでに人材不足が顕著な問題ですが、OT/ICS分野ではさらに顕著な問題です。
したがって、やみくもに投資するのではなく、OT/ICS環境の目的や環境上の制約を考え、効果的な改善策を提案する必要があるのです。
OT環境には、新しいオペレーション重視の防衛マインドが必要
重要なインフラにおける業務の可用性、安定性、セキュリティは、事業継続のために不可欠です。組織は、システム障害、不正な変更、またはセキュリティインシデントによる中断のリスクを低減し、顧客に製品やサービスを安定して提供できるようにする方法を検討する必要があります。
ご存知のように、OTセキュリティ担当部署の目的は、機器やシステムの安定性を維持し、運用の可用性を最大化することです。したがって、セキュリティはすべての部門にとって重要ですが、緩和策による影響は、機器のパフォーマンスを低下させるのではなく、機器をサポートする形で調整する必要があります。
例えば、誰かがデバイスの設定を変更しようとした場合、運用上の優先順位は、安定性を維持するためにこの変更を阻止することです。この運用アプローチは、主に変更、特に予期せぬ変更を検出することに重点を置いています。
このような変更を検出するためには、まず、各デバイスの予想される構成と動作状態を理解する必要があります。一意に識別するか、フィンガープリントする必要があります。各デバイスは微妙に異なるため、この操作は個々のエージェントレベルで行うのがベストです。そして、デバイスに関連するテレメトリデータを継続的に分析することで、発生した変化を確立されたフィンガープリントからの逸脱として検出し、対応を促します。
IT EDRのアプローチがOT環境に適さない理由
IT EDRの防御方法は、脅威のパターンをリアルタイムに識別することに基づいています。脅威を示す行動の組み合わせに対して迅速に検知・対応することで、組織データの機密性・完全性を維持することができます。このIT EDRにおける脅威検知は、複数のエンドポイントから収集した大量のテレメトリデータを分析し、エンドポイントの挙動とTTP(Tactics, Techniques, and Procedures)やIOA(Indicators of Attack)の相関を調べることから始まります。
しかし、Volt Typhoonの事例は、現代の脅威行為者は検出を回避し、通常のWindowsシステムやサイバーセキュリティの活動に紛れ込み、EDR製品からホスト上に導入されたサードパーティ製アプリケーションへのアラートを回避します。また、デフォルトのログ構成に取り込まれる活動量を制限します。
さらに、IT EDRは理解できない脅威の行動を監視することはできず、一部のコマンドラインであっても良性の活動として誤ってフラグが立てられ、セキュリティ担当者が見落としてしまう可能性があります。したがって、サイバーセキュリティの防御フレームワークがIT EDR製品を防御基盤として過度に依存している場合、サイバーセキュリティの防御が破られ、事業継続に影響を与えるリスクがあります。
さらに、IT EDRに基づく脅威の緩和技術は、しばしば運用そのものに影響を与えることで、より大きな中断のリスクをもたらします。例えば、IT EDRが特定の脅威を検出した場合、あらゆる攻撃の伝播を制限し、攻撃の連鎖を断ち切ることが主要なタスクとなります。この目標を達成するための脅威対応アクションは、感染したエンドポイントを隔離し、攻撃に関連するすべての機能およびプロセスを終了させることです。したがって、セキュリティ目標を達成するためのセキュリティ態勢を維持することは、個々のエンドポイントの可用性を犠牲にすることになる可能性さえあります。
まとめると、Volt Typhoonのような脅威に対抗するために、組織はオペレーションにフォーカスしたアプローチを採用することを検討する必要があります。これは、デバイスの予期せぬ動作変化を抑制し、不安定性をもたらす可能性を排除するものです。その後、実用性の高いアラートを生成することで、セキュリティチームは脅威が存在する場合にインシデントレスポンスを実行し、運用チームは潜在的なプロセスの問題や変更を調査することができます。
この方法の利点は、個々のエージェントレベルで検出されるため、その対応速度にあります。クラウドで管理された分析が特定の脅威パターンであるかどうかを判断するのを待つ必要がありません。その代わり、脅威であろうと、意図しない設定変更であろうと、あらゆる変化が検出され、対応されます。脅威が発生したかどうかを判断するための分析が行われる間、オペレーションが停止することはありません。
TXOne CPSDR – レベル0からレベル3までの最終防衛ラインCPSDRとは
オペレーションにフォーカスしたアプローチを実現するには、セキュリティとオペレーションの両方の脅威に対応する新しいアーキテクチャが必要です。これを「Cyber-Physical Systems Detection and Response」、略してCPSDRと呼んでいます。CPSDRは、各デバイスを一意に識別し、その正常な動作の変化を監視し、逸脱や行動分析によって予期せぬ変化や異常な動作をリアルタイムで検出します。そして、これらの変化が影響を与える前に抑制します。同時に、EDRで検証されたサイバー脅威の検知と対応のコンセプトを運用上の脅威防御に導入し、共通の目標をサポートします。
この新しい二重の視点と焦点により、セキュリティ担当部署はサイバーセキュリティ攻撃のリスクを軽減し、OT担当者は構成をロックダウンすることができ、運用の継続性を損なうことなく各チームがタスクを遂行することができます。言い換えれば、攻撃者がITセキュリティの防御を発見されずに回避することに成功したとしても、OT/ICS環境では発見されずに済むということにはなりません。なぜなら、攻撃者がデバイスのフィンガープリントに最終的な変更を加えようとする場合(良性であることをカモフラージュするため)、それ自体が検知され、阻止されるからです。
レベル0からレベル3までの最後の防衛ライン
私たちは、CPSDRを企業の最終防衛ラインと位置づけています。例えば、Purdueの参照モデルを使用すると、レベル4と5のITサイバー攻撃は、攻撃者によるさらなる悪意のある活動を可能にするために、ユーザーの認証情報をターゲットにしています。
その結果、多くのOT/ICS攻撃は、レベル4のマルウェアやランサムウェアの影響を受け、データの損失や乗っ取りにつながっています。OT/ICS側でより重大な混乱を引き起こすために、攻撃者は環境内で大規模に伝播するための脆弱性を悪用します。場合によっては、サイバースパイ活動はさらに深化し、PLC/DCを攻撃して生産ラインを停止させ、安全上の危険をもたらすことさえあります。
脅威検知の観点からは、レベル4と5は比較的検知と遮断が容易です。答えは簡単です。メール、エンドポイント、ネットワーク、さらにはクラウドに至るまで、数多くのITセキュリティ・ソリューションが存在しますが、それらはセキュリティ担当者に警告疲れをもたらし、セキュリティ管理の強度を高めることで、攻撃者がITセキュリティ・ソリューションの検知を回避してレベル3に侵入する機会を与えています。攻撃者がレベル3に侵入すると、綿密に計画された標的型攻撃である可能性があるため、脅威の検知がますます難しくなります。
そのため、OTサイドの脅威検知・対応では、作業量を増やすことなくアラート疲労を考慮し、脅威ハンティングの主要な検知指標として独自のオペレーション動作を活用する必要があります。
TXOne Stellarによる適用可能なソリューション
TXOne Networksは、TXOne Stellarを通じて、保護領域における新しいパラダイムを開拓しています。OT/ICS環境向けに特別に設計されたStellarは、OT/ICSデバイスや物理システムの運用安定性を保護し、サイバー脅威を検知し、対応することで、ビジネスチームとセキュリティチームの両方の目標に沿うような機能を提供します。
TXOne NetworkがOT/ICS業界を深く理解することで、業界は「ITソリューションが唯一の選択肢である」という考えから脱却することができるのです。Stellarは、OTレジリエンスを加速させるだけでなく、運用チームの信頼性を高めることができます。セキュリティチームも同じように目的を達成するため、可用性を阻害することなく、セキュリティコントロールを実施することができます。
TXOneの適用可能なソリューション Edgeネットワーク防御
エンドポイントプロテクションに加え、TXOne NetworksはEdgeネットワーク防御ソリューションを通じて最小特権の原則をサポートし、企業はOT/ICS攻撃面の最小化、OT/ICSサイバー攻撃の抑制、運用パフォーマンスの向上、人的エラーの影響の低減を実現します。
また、さまざまなレベルできめ細かなアクセス制御を行うことで、重要なシステムを保護しながら、可用性とセキュリティのバランスを保つことができます。
さらに、Edgeシリーズのネットワークベースの仮想パッチ技術を使用することで、レガシーOSやパッチ未適用の資産の周りに保護シールドを構築し、攻撃者がネットワークの脆弱性を悪用してシステムにアクセスすることを抑止できます。このアプローチを強化するために、複数のCVE(Common Vulnerabilities and Exposures)を検出できる複数のルールが提供されています:
- Exploit Public-Facing Application(T1190)
– 1139737 WEB Zoho ManageEngine ADSelfService Plus Authentication Bypass -1 (CVE-2021-40539)
– 1232874 WEB FatPipe Networks WARP/IPVPN/MPVPN Arbitrary File Upload (CVE-2021-27860)
- Top CVEs Actively Exploited by People’s Republic of China State-Sponsored Cyber Actors
– 1135945 WEB Pulse Secure 8.1R15.1/8.2/8.3/9.0 SSL VPN – Arbitrary File Disclosure (CVE-2019-11510)
– 1136561 EXPLOIT Citrix Application Delivery Controller Remote Code Execution -1.1 (CVE-2019-19781
– 1232257 WEB F5 BIG-IP TMUI Directory Traversal and File Upload RCE -4 (CVE-2020-5902)
– 1139324 WEB Cisco HyperFlex HX Auth Handling Remote Command Execution (CVE-2021-1497)
– 1139528 WEB Buffalo Wifi Router Path Traversal -1.1 (CVE-2021-20090)
– 1139779 WEB VMware vCenter Server AsyncTelemetryController Arbitrary File Write -1 (CVE-2021-22005)
– 1139640 WEB Confluence Server Webwork OGNL injection -1 (CVE-2021-26084)
– 1138767 WEB Microsoft Exchange Server Remote Code Execution Vulnerability -1 (CVE-2021-26855)
– 1139043 WEB Microsoft Exchange CVE-2021-26858 Arbitrary File Write -1
– 1138931 WEB Microsoft Exchange CVE-2021-27065 Arbitrary File Write -1
– 1139937 WEB Hikvision Product Web Server Command Injection -1.1 (CVE-2021-36260)
– 1139826 WEB Apache HTTP Server Path traversal (CVE-2021-41773)
– 1230159 WEB Sitecore Experience Platform (XP) PreAuth Deserialization RCE (CVE-2021-42237)
– 1230268 WEB Apache log4j Remote Code Execution -1.u (CVE-2021-44228)
– 1231035 WEB F5 BIG-IP REST Unauthenticated SSRF Token Generation RCE -1 (CVE-2022-1388)
– 1230924 WEB Apache APISIX batch-requests Plugin IP Restriction Bypass (CVE-2022-24112)
– 1231199 WEB Atlassian Confluence Server and Data Center xwork OGNL Injection -1 (CVE-2022-26134)
- Command and Control: Proxy(T1090)
– 1232879 MALWARE-FILE-TRANSFER HackTool.Win32.EarthWrom
– 1232880 MALWARE-FILE-TRANSFER HackTool.Win64.RemCom
– 1232881 MALWARE-FILE-TRANSFER HackTool.Win32.Meterpreter.A -1
– 1232882 MALWARE-FILE-TRANSFER HackTool.Win64.FRP.YXDEY -1
– 1232884 MALWARE-FILE-TRANSFER HackTool.Win64.FRP.YXDEY -2
– 1232885 MALWARE-FILE-TRANSFER HackTool.Win64.FRP.YXDEY -3
まとめ
地政学的な緊張が高まるにつれ、国家をスポンサーとするハッカーや政治的な動機に基づく組織が激しい攻撃を仕掛けるようになる可能性があります。攻撃者が検知を回避し、通常のWindowsシステムやサイバーセキュリティ活動に紛れ込み、ホスト上に導入されたサードパーティ製アプリケーションに関するEDR製品からのアラートを回避し、さらにはデフォルトのログ構成でキャプチャされるアクティビティの量を制限することができれば、ITのEDR防御の難易度は飛躍的に高まります。
私たちは、重要なインフラストラクチャの重要な課題の1つは、ビジネスの継続性を確保することであると考えています。しかし、組織がIT防御アーキテクチャの崩壊に直面し、攻撃者がパデュー・モデルのレベル3を超えると、脅威の検知はますます困難になります。これは、慎重に計画された標的型攻撃である可能性があり、OT業務に深刻な影響を与えるからです。
この時点で、組織は最後の防衛線を構成するものを再考する必要があります。TXOne Networksは、産業におけるOT/ICS環境には、運用の可用性を最大化するために、運用に重点を置いた防御アプローチが必要だと考えています。これは、デバイスのユニークな特性と、それらがもたらすリスクを排除するための包括的なセキュリティポリシーを活用することにより、予期せぬ変化を抑制することを含みます。その後、実用性の高いアラートが生成されるため、セキュリティチームは脅威が発生したときに対応することができ、運用チームは個々のエンドポイントの可用性を犠牲にするのではなく、潜在的なプロセスの問題や変更を調査することができます。
TXOne Networksは、Cyber-Physical Systems Detection and Response (CPSDR)フレームワークを紹介しています。これにより、攻撃者がITセキュリティ防御を未検出で突破することに成功したとしても、OT/ICS環境内で速やかに発見されることが保証されます。攻撃中にデバイスのフィンガープリントに最終的な変更が加えられても、検知され阻止されるからです。私たちの使命は、重要なインフラや製造業の産業可用性、安定性、安全性を維持することで、サイバーセキュリティの課題を克服し、継続的なオペレーションを確保することです。
OTのゼロ・トラスト・アプローチを中心としたソリューション、また、運用の継続性を維持しながら資産を保護するソリューションをお探しでしたら、TXOne Networksがお手伝いいたします。私たちのチームにお気軽にお問い合わせください。