2021年のセキュリティ・インシデントまとめ:Log4j、Exchange、パイプライン、Pegasus|アナリストチョイス 2021年12月 | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > Analyst's Choice > 2021年のセキュリティ・インシデントまとめ:Log4j、Exchange、パイプライン、Pegasus|アナリストチョイス 2021年12月

2021年のセキュリティ・インシデントまとめ:Log4j、Exchange、パイプライン、Pegasus|アナリストチョイス 2021年12月

2021年のインシデントまとめ

2021年にあった主要なセキュリティ・インシデントについて、弊社マキナレコードのアナリストがコメントします。

 

今回取り上げるインシデント

以下のように、四半期ごとに1つのインシデントをピックアップしました。

第1四半期(3月)

マイクロソフトExchangeサーバーの脆弱性「ProxyLogon」

第2四半期(5月)

米国コロニアル・パイプラインへのランサムウェア攻撃

第3四半期(7月)

イスラエル企業のスパイウェア「Pegasus」

第4四半期(12月)

Log4jの脆弱性「Log4Shell」

 

アナリスト

Rory Morrissey

(Intelligence Architect @Machina Record)

連載記事「アナリスト・チョイス」を毎月1回更新しています。

「アナリスト・チョイス」では毎回、最新の注目記事をピックアップし、記事で取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

目次

第1四半期

脆弱性「ProxyLogon」

 

第2四半期

パイプラインにランサムウェア攻撃

 

第3四半期

スパイウェア「Pegasus」

 

第4四半期

Log4jの脆弱性

 

第1四半期

脆弱性「ProxyLogon」

概要

マイクロソフトは3月、複数のゼロデイ脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)のエクスプロイトが、オンプレミスの Exchangeサーバーを攻撃するために使用されていることを公表しました。マイクロソフトは、このキャンペーンは中国を拠点に活動する国家支援型グループ「HAFNIUM」によるものであると、高い確度で断定しました。

 

攻撃者はこの脆弱性を利用すれば、任意のHTTPリクエストを送信してExchangeサーバーとして認証を受け、Exchangerサーバー上でSYSTEMとしてコードを実行し、サーバー上の任意のパスにファイルを書き込むことができるようになります。

 

攻撃者は侵入後、メールアカウントにアクセスし、データ窃取やターゲット環境への長期的なアクセス維持に使用可能なWebシェルや追加のマルウェアを展開することができます。Volexity社もインシデントについて報告しており、「China Chopper」の亜種の「ASPXSPY」、および新たなWebシェル「SPORTSBALL」を攻撃者が使用したと述べています。

 

緩和策

このインシデントの緩和策として、マイクロソフトが脆弱性の公表直後にリリースしたパッチでExchangeサーバーをアップデートすることが挙げられます。またマイクロソフトは、脅威に対処するため、パッチ適用や脆弱なシステムのスキャンに役立つ「ワンクリック」緩和ツールもリリースしました。この脆弱性と緩和策、観測されたIOCの詳細については、以下のページでご覧いただけます。

 

情報源:

1. HAFNIUM targeting Exchange Servers with 0-day exploits

 

第2四半期

パイプラインにランサムウェア攻撃

概要

5月6日、ランサムウェア「DarkSide」の攻撃者が米コロニアル・パイプライン社のネットワークに侵入して100GBのデータを盗み、翌日、ファイルを暗号化しました。同社は、この攻撃を受け、特定のシステムをオフラインにしたと述べました。こうした措置により、同社のITシステムの一部が影響を受けたほか、すべてのパイプラインの操業が停止しました。

 

コロニアル・パイプラインは、東海岸のガソリン、ジェット燃料、ディーゼル燃料の供給の45%を担っています。5月9日の時点で、4つの本線はすべてオフラインでしたが、複数の小規模な側線は稼働していました。この攻撃を受け、米国運輸省は道路経由の燃料輸送に関する規制を緩和する緊急の法的措置を発表しました。

 

Digital Shadows社のJames Chappell氏はBBCに対し、攻撃者はリモートデスクトップ・ソフトウェアのアカウントログイン情報を購入して攻撃を行ったとの見方を伝えました。

 

100GBのデータが盗まれ、ファイルは暗号化され、パイプラインの稼働がすべて停止しました。しかし、今回の被害のかなりの部分は、「世界のどこにでもいる、おそらくまだ知られていないであろう脅威アクターによって、国全体のインフラが簡単に機能不全に陥るかもしれない」との認識が広まったことによるものです。今回のインシデントは、国家が関与したとは考えられていないものの、将来起こりうるインシデントを予見させるものであることから、国家間の緊張を高めています。幸いにもDarksideグループは、今回の攻撃には政治的な動機はなかったとしており、今回のようなインシデントを回避するため、今後は標的をもっとよく見極めると述べています。

 

緩和策

攻撃者は、リモートデスクトップ・ソフトウェアのアカウントログイン情報を購入し、攻撃を行ったと考えられています。ユーザー名やパスワードの流出は今後も続くと予想されるため、企業は二要素認証などでセキュリティ対策を強化することが極めて重要です。また、ゼロトラスト・ポリシーによって、脅威アクターが従業員のアカウントへの侵入に成功した場合に及ぼされうる被害を抑えることが可能です。

 

米国のCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)が詳細な緩和策リストを提供しており、以下のページでご覧いただけます。



情報源:

1.DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks

 

第3四半期

スパイウェア「Pegasus」

概要

「Pegasus」とは、国家や捜査機関によるテロや犯罪の防止・捜査、公共の安全維持を支援することが目的と称される、NSOグループ社が開発した軍用水準のスパイウェアです。

 

7月、国際的な調査報道機関の「Pegasus Project」は、イスラエルのテクノロジー企業であるNSOグループの顧客が狙っている可能性のある人物の電話番号5万件超のリークを入手したと報じました。リストに含まれるのは、ジャーナリスト、活動家、学者、弁護士、政治家/政府関係者、ビジネスマン、医師、検察官、そして、NSOの顧客が関心を持つと思われる人物の友人や親族です。


スパイウェアPegasusは、Android、iOS、Blackberry、Symbianベースの機器を攻撃する機能を備えています。同ツールは、SMS、WhatsApp、iMessage、および未知の脆弱性を使ってインストールすることができ、SMS、メール、WhatsAppチャットからのデータ取得、GPSデータの取得、通話の記録、パスワードの収集などに利用できます。NSOの技術の進歩により、攻撃者はゼロクリック攻撃を行うことができると報告されています。

 

このインシデントは主に日本国外の非企業を狙ったものですが、インシデントの普遍性により、ライバル企業や国家、独立した脅威アクターも同様に大規模な企業スパイ行為を行う可能性が露呈しました。 

 

緩和策

有名な不正アクセスのほとんどが、有害なリンクを標的となる被害者に送ることで実行されています。標的がリンクを開くと、Pegasusマルウェアのペイロードがダウンロードされ、エンドポイントにインストールされるのです。

 

緩和策として、以下のものが挙げられます。

1. システムやアプリケーションのアップデート(特にブラウザのアップデート)をインストールする

2.ショートメールやEメールの不審なリンクをクリックしない

3.最終手段は携帯デバイスの初期化

 

情報源:

1. Everything you need to know about the Pegasus spyware

 

第4四半期

Log4jの脆弱性

概要

Log4jの重大な遠隔操作エクスプロイトが12月中旬に公開され、世界中の企業が被害状況の把握とさらなる問題の軽減に追われることになりました。この脆弱性は、多くの人に利用されるJavaコードライブラリに関連するもので、リモートで悪用して悪意のあるコードを実行することで、攻撃者は標的のデバイスとネットワークをコントロールできるようになる可能性があります。

 

Log4jが被害者のアプリケーションで直接使用されていない場合でも、フレームワークやツール自体にこの脆弱性が含まれている可能性があります。この問題に対応するために今後ベンダーから提供されるアップデートに注意してください。ベンダーのディストリビューションにJVMが組み込まれている場合は、特にご注意ください。

 

ハッキングの標的は、Javaで書かれたアプリケーションを使用するほぼすべての企業です。世界でニュースが報じられた数日後には、主要なソフトウェア開発企業がパッチを配布しましたが、この脆弱性は遅くとも11月には悪用され始めていた可能性があるため、その影響が年明け以降もしばらくニュースで報じられるでしょう。なお、この脆弱性による被害を公表した企業は、まだありません。

 

緩和策

Log4jをアプリケーションで直接使用していない場合でも、フレームワークやツールには脆弱なバージョンが含まれている可能性があります。特に、ベンダーのディストリビューションにJVMが組み込まれている場合は、この問題への対応のために今後ベンダーから提供されるアップデートに注意してください。

 

自社のプラットフォームに脆弱性のリスクがないか確認し、Java 8の最新バージョンである2.17.0にアップグレードするとともに、脆弱性を含む可能性のあるフレームワークやツールのプロバイダーからのアップデートを適用することを、すべての企業に推奨します。この脆弱性が公表されて以降、Javaは過去のアップデートが問題を部分的にしか解決していなかったことを理由とするバージョンアップを3回リリースしています。そのため、今後も注視が必要です。

 

脆弱性のパッチを適用済みの企業も、脆弱性が公表される前や、脆弱性が公表されてから緩和策が実施されるまでの間に発生した可能性のある侵入を確認するため、必要な予防策を講じましょう。

 

情報源:

1.Apache Log4j Vulnerability Guidance