2018年2月28(水)、ドイツ政府のコンピューターネットワークに対する新たなハッキングのニュースが報道されたことを覚えているかたも多いと思います。ドイツの内務省報道官の発表(英語)では、内務省と防衛省への侵害が発生し、攻撃はSofacy(別名Fancy Bear、APT28、その他複数)と呼ばれるロシア政府が支持していると広く信じられているAPT攻撃(Advanced Persistent Threat:高度で持続的な脅威)グループによる攻撃としています。
Sofacyはサイバーセキュリティの脅威アクター(英語)としてその存在を知られているサイバー攻撃者集団で、一部の悪名高い攻撃はこのグループの犯行とされています。最近のSofacyに関連した攻撃の犠牲者には、世界アンチ・ドーピング機関(英語)、民主党全国委員会(英語)、フランスとドイツの2017年の選挙(英語)に関連する団体が含まれています。
Sofacyは悪評が高いので、ドイツ政府に対する今回の攻撃をSofacyによる攻撃とするのももっともなことです。しかし、エフセキュアのプリンシパルセキュリティコンサルタントであるTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)(英語)は、これらの報告は目新しいものではないと述べています。
「攻撃自体は驚くべきことではなく、ニュースにするほどの価値もありません。意外に思う人もいるかもしれませんが、政府はこれらの攻撃を定期的に受けており、サイバーセキュリティ業界にとっては見慣れた光景であり、想定内のことです。」とTomは説明しています。「政府への攻撃には、はっきりとした傾向があるので予測が可能です。しかし、残念ながら攻撃者には防御側より多くの有利な点があり、攻撃を継続させることができます。」
なぜ彼らが政府に対しての攻撃を継続的に実施することができるのか、その理由をご紹介します。
攻撃者の特定が困難
サイバー攻撃用のツールキットやリソースが売買されている時代において、攻撃の出所を、個人、グループ、政治的組織、または国に特定することは簡単なことではありません。攻撃を実行している人物や、資金を提供している人物を特定することはほとんど不可能なことです。
「例えば、攻撃を実行しているスペインのエンドポイントに割り当てられたスペインのIPアドレスが、必ずしもスペイン政府によって承認されているわけではありませんし、ましてや公式の政策を示すものでもありません。」とTomは述べています。「最近の攻撃をソファシシやロシアに結びつける証拠は存在するかもしませんが、公開できるものを見たことがありません。もっともらしい反論がかなり一般的であり、サイバー攻撃はスパイ活動、データ窃盗などのための魅力的なツールになっています。」
レガシーシステムでは昔ながらの同じ手口が成功し続ける
政府にとって重大な問題は、セキュリティへの要求が全くない状態で、サービスプロバイダーとの間で長期契約が存在し、未だに償却されていないメインフレーム、古いソフトウェアやハードウェア、およびサービスの存在です。レガシーシステムが根本原因として取り上げられた2015年のOPMハッキング(英語)はその証左としてあげられます。「政府のIT予算は限られているため、特定の政府や部門の脅威モデルにおけるすべてのシステムがセキュアな状態に置かれているわけではありません。」とTomは続けます。
表面だけのサイバー防衛が多い
脆弱性が公開された後にパッチを当てることは一種の競争です。あなたの会社では、攻撃者がエクスプロイトを開発する前に、防御側がシステムにパッチを当てることができますか?ほとんどの場合、答は「いいえ」です。なぜなら、大半の組織は費用対効果の高い方法で適時にパッチを適用することができないからです。それでは防御側は何を頼りにすればよいのでしょうか?
「ネットワークの区画化、アプリケーションとオペレーティングシステムの堅牢化、ロギングと警告のメカニズムなど。現実の世界では、これだけでも十分とは言えません。」とTomは説明します。「しかし、これらのセキュリティ層がなければ封じ込め戦略はうまく機能せず、Eメール、アクティブディレクトリ、バックアップやクラウドインフラなどの重要なアセットがが侵害されることになります。」
攻撃に対応するサイバーセキュリティの専門知識が不十分
サイバーセキュリティにおける人材がかなりのスキル不足(英語)に直面していることは明らかです。
「公共セクターは、情報セキュリティ担当者の経験、給与、スキルの面で、民間企業と肩を並べることに苦労しており、新たな有能な人材の採用がは難しいということです。」とTomは言います。「この点が改善されなければ、大規模な情報セキュリティプロジェクトの設計、実装、保守の選択や決定、そして世界中の政府による将来のデジタル化の努力は行き詰まり、期待外れの結果に終わるでしょう。」とTomは説明します。
従業員は攻撃対象領域の一部
「多くの公共セクターは、フィッシングやその他の基本的な攻撃を検出する能力をテストするために努力していますが、従業員は一般的にAPTのような高度な脅威を識別することはできません。内部ネットワーク上の重要なリソースにもアクセスできるEメールアドレス保有者全員に、最先端のサイバーセキュリティトレーニングを実施することは、現実にはあまり役に立ちません。一方で、セキュリティ層が組み込まれたネットワークを所有している企業は、重要な情報を保護するためにエンドポイント保護以上の防御機能を備えているため、従業員についても公共セクターほど心配する必要はありません。」
WannaCryとNotPetyaの攻撃により、これらの層の重要性が実証されました。Tomは、WannaCryに続いて(英語)、社外と接する職責を担う従業員を、ネットワークの重要な部分から隔離された非武装地帯 (DMZ)の一種として扱うよう提案しています。
ロギングとインシデント対応機能が普及していない
何がセキュリティインシデントで、何がそうではないことを知ることは、検知と対応の両方の取組みにとって不可欠です。しかしながら、予防することと同じレベルに検知と対応の優先順位付けされていないのが実情です。
「組織では、通常オペレーティングシステムやネットワークデバイスへのログインにデフォルトオプションを利用しますが、これだけでは不十分です。見落とされがちなことですが、中央ロギングサービスなどネットワークの監視のために多くの努力を払うことが素早い成果を出すために必要です。」とTomは述べます。「セキュリティ責任者がITインフラの健全性とセキュリティの状態を一元的に監視していなければ、攻撃の進捗状況を監視したり、迅速かつ効果的に対応したり、リソースの追加が必要な個所を経営者に要求することはできません。」
カテゴリ