ファイアウォールのようなネットワークセキュリティ製品は、ハッカーの侵入を防ぐためにある。ところが、それらの機器をハッカーが脆弱なポイントとして狙い、本来ならファイアウォールによって保護されるはずのシステムを乗っ取る事例が増えている。こうしたなか、過去数カ月に起きたハッキングの事例において、熟練のハッカーたちがシスコ製のファイアウォールを“踏み台”にして世界中の複数の政府ネットワークに侵入していたことが明らかになった。
これはネットワーク機器大手のシスコシステムズが4月24日(米国時間)に警告を発したもので、ファイアウォールやVPNなどの機能を統合した「Cisco ASA(Adaptive Security Appliance)」が、国家の支援を受けたスパイのターゲットになっていたという。このスパイはシスコのデバイスの2カ所にあったゼロデイ脆弱性(未知または未対応の脆弱性)を悪用し、「ArcaneDoor」と呼ばれるハッキング作戦によって世界各国の政府のシステムのセキュリティを侵害したのだ。
今回のセキュリティ侵害の“黒幕”であるハッカー集団について、シスコのサイバーセキュリティチームであるCisco Talosは「UAT4356」、調査に協力したマイクロソフトのリサーチャーは「STORM-1849」と名付けている。これまでに両社が追跡していた過去のネットワーク侵入事件と、今回の侵入の黒幕であるハッカーについては、明確に結びつけることはできていない。しかし、一連のスパイ活動の焦点と巧妙さから、シスコは今回のハッキングは国家に支援されているように思えると説明している。
「侵入者はスパイ活動に明確に照準を合わせており、狙ったデバイスを熟知していることを示すカスタムツールを使用していました。これは国家の支援を受けている高度な技術をもつハッカーの特徴です」と、Cisco Talosのリサーチャーは公式ブログに投稿している。
侵入を指示している国家が具体的にどこであるのかについて、シスコは明言を避けている。だが、調査の詳細を知る情報筋によると、今回のハッキング作戦は中国の国益に沿ったものに感じられるという。
シスコはアップデートの即時適用を勧告
シスコによると、今回のハッキング作戦は遅くとも2023年11月には始まっており、侵入行為の大半は12月から最初の被害が報告された今年1月初旬にかけたものだった。「その後の調査によりさらなる被害者が確認されたが、そのすべてが世界各国の政府機関のネットワークに関係していた」と、シスコのレポートには書かれている。
今回の侵入においてハッカーは、シスコのASA製品に新たに見つかった2つの脆弱性を悪用していた。ひとつは「Line Dancer」と呼ばれる脆弱性で、これを通じてハッカーはネットワーク機器のメモリー内で独自の不正なコードを実行し、トラフィックをのぞいたりデータを盗んだりするよう命じるコマンドをデバイスに送り込める。もうひとつは「Line Runner」と呼ばれる脆弱性で、悪用すれば標的となるデバイスが再起動やアップデートをされても、 ハッカーのマルウェアによるデバイスへのアクセスは維持される。
これらの脆弱性に対応すべく、シスコはソフトウェアのアップデートを公開した。そして顧客に対し、狙われたかどうかを検知できる推奨策と併せて、これらのアップデートをすぐに適用するようすすめている。
英国の国家サイバーセキュリティセンター(NCSC)からの別の勧告によると、ハッカーがLine Runnerを悪用しているかどうかにかかわらず、物理的にASAデバイスの電源をオフにすることで、ハッカーからのアクセスを止められるという。「Cisco ASAの電源プラグを抜いてハードリブートすることで、Line Runnerの再稼働を防ぐことができます」と、NCSCは説明している。
狙われるエッジデバイス
今回のハッキング作戦「ArcaneDoor」は、メールサーバーやファイアウォール、VPNなど、ネットワーク境界のアプリケーションを狙って近ごろ発生している侵入事案の代表的な事例だ。
「エッジデバイス」とも呼ばれるネットワーク境界に置かれる機器の多くは、セキュリティ目的で配置される。ところが、ハッカーはむしろその脆弱性を突いて被害者のネットワーク内に次なる攻撃の拠点を築くことができたという。
Cisco Talosのリサーチャーは報告書において、極めて機密性の高いネットワークが最近になってエッジデバイス経由で狙われている点に言及したうえで、こうした動きが広範囲に広がっていると警告している。
「これらのデバイスを足がかりにすることで、ハッカーは組織のネットワークに直接入り込んだり、トラフィックを迂回・変更させたり、ネットワーク通信を監視したりできるようになる」と、報告書では説明されている。「過去2年の状況を見ると、通信プロバイダーやエネルギー部門の組織など、多くの外国政府にとって戦略的な関心事であろう重要インフラの組織において、これらのデバイスを標的とした攻撃が大幅にかつ持続的に増加している」
グーグル傘下のセキュリティ企業であるMandiantが脅威インテリジェンスとインシデント対応に関する調査結果に基く年次レポート「M-Trends」を今週はじめに出しているが、そこでも国家の支援を受けたハッカーの活動がエッジデバイス攻撃にシフトしている点が強調されている。それほど、こうした動きは顕著なのだ。
Mandiantのレポートによると、バラクーダネットワークスやIvanti(イヴァンティ)が販売するエッジデバイスの脆弱性が悪用されるケースが増えているという。そして多くのネットワークにはデバイス侵害の監視方法がほとんど(あるいはまったく)ないこともあり、ハッカー、特にスパイ活動に特化した中国の集団がエッジデバイス向けにカスタマイズされたマルウェアを開発していると指摘している。英国のNCSCの勧告によると、ArcaneDoorによるCisco ASAデバイスへのアクセスを検出することは「信じられないほど難しい」という。
さらなるゼロデイ攻撃がやってくる
さらにMandiantは、ロシアが支援するハッカーもエッジデバイスを標的にしていることを確認したことにも触れている。ロシア連邦軍参謀本部情報総局(GRU)のハッカー集団「Sandworm(サンドワーム)」がウクライナの組織で使われているエッジデバイスを繰り返し攻撃し、被害に遭ったネットワークへのアクセスを獲得・維持し、ときにデータを破壊するサイバー攻撃を実行していることが確認されているのだ。エッジデバイスにおける可視化と監視が不十分だったことで、Sandwormがエッジデバイスの制御を維持したまま標的のネットワークを“消去”し、同じネットワークを再度攻撃できた事例もあった。
「ハッカーたちはネットワークのほかの部分にアクセスするために、エッジに位置するセキュリティアプライアンスを体系的に狙っています」と、Mandiantの脅威インテリジェンスの責任者であるジョン・ハルトクイストは言う。「これはもはや新しいトレンドではなく、確立した手法なのです」
一方でハルトクイストは、ネットワーク機器のゼロデイ脆弱性の発見と利用に関して、中国は他の追随を許さないとも指摘する。ネットワークを保護するはずのデバイスを悪用して中国のサイバースパイは攻撃を続けることから、攻撃は今後も増えるとハルトクイストはみている。
「このようなゼロデイ攻撃が無計画なものとは思えません。脆弱性を見つけて悪用するために十分なリソースが投入され、組織的な取り組みが進められているとの疑いをもっています」と、ハルトクイストは語る。「残念ながら今年はほぼ確実に、セキュリティアプライアンスに複数のゼロデイが発生することでしょう」
(Originally published on wired.com, edited by Daisuke Takimoto)
※『WIRED』によるサイバーセキュリティの関連記事はこちら。
雑誌『WIRED』日本版 VOL.52
「FASHION FUTURE AH!」は好評発売中!
ファッションとはつまり、服のことである。布が何からつくられるのかを知ることであり、拾ったペットボトルを糸にできる現実と、古着を繊維にする困難さについて考えることでもある。次の世代がいかに育まれるべきか、彼ら/彼女らに投げかけるべき言葉を真剣に語り合うことであり、クラフツマンシップを受け継ぐこと、モードと楽観性について洞察すること、そしてとびきりのクリエイティビティのもち主の言葉に耳を傾けることである。あるいは当然、テクノロジーが拡張する可能性を想像することでもあり、自らミシンを踏むことでもある──。およそ10年ぶりとなる『WIRED』のファッション特集。詳細はこちら。