Cloud CISO の視点: 2023 年 6 月下旬

※この投稿は米国時間 2023 年 7 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 6 月、2 回目の投稿となる Cloud CISO の視点へようこそ。前回のニュースレターでは、組織のセキュリティを維持するうえで高精度の脅威インテリジェンスが果たす役割が重要性を増していること、そしてそれを Security Summit で中心に据えたことについて説明しました。

昨今のサイバーセキュリティにおける脅威は、各組織に大きなリスクをもたらし、それぞれのビジネスに無視できない影響を与える可能性があります。当然のことながら、リーダーや取締役会は正確かつタイムリーな脅威インテリジェンスについて常にアンテナを張っておく必要があります。そこで、Google Cloud の Mandiant Intelligence 担当バイスプレジデントである Sandra Joyce から、現在の脅威の状況について詳しく説明します。

「ゼロデイサマー」の脅威の状況について知っておくべきこと

- Google Cloud、Mandiant Intelligence 担当バイスプレジデント Sandra Joyce

最近続いたゼロデイ脆弱性関連のインシデントにより、セキュリティ コミュニティの一部のメンバーは、この夏を「ゼロデイサマー」と呼ぶようになりました。ユーモラスな言葉の響きからはこの問題の深刻さが正しく伝わってきませんが、ビジネスリーダーや取締役会は、最近の重大なインシデントがより大きな傾向に根ざしていることを理解する必要があります。

ファイル転送ツールやセキュリティ プロダクトの脆弱性は、Google の一部のお客様に深刻な影響を及ぼしており、この傾向が雪だるま式に拡大しているのではないかとの懸念が高まっています。今年これまでに発見されたゼロデイの数は昨年のペースをわずかに上回る程度ですが、残念なことに、複数年にわたって長期的に見るとゼロデイの数が増加していることがわかります。

2021 年と 2022 年に、中国のサイバースパイ活動家は、ファイアウォール、VPN、メール セキュリティ アプライアンス、ネットワーキング プロダクト、仮想化ソフトウェアなどのセキュリティ デバイスにおいて 10 件のゼロデイに関与しました。これは、中国のサイバースパイ活動家によって悪用されたとして Google が追跡を行ったゼロデイ全体の半分に相当します。こうした脆弱性により世界規模での侵入が可能となり、APT41 などの国家が支援する中国の脅威アクターがさまざまな分野に入り込んでいます。

セキュリティ デバイスと仮想化ソフトウェアにインシデントが集中して見られるのは偶然とは思えません。脅威アクターは、さまざまな戦術的利点が見出せるこうしたデバイスに意図的に焦点を当てていると考えられます。たとえば、モニタリングが難しく、検出可能性が低い点。こうしたデバイスの多くでは、エンドポイント検出と応答（EDR）ソリューションがサポートされておらず、変更の検出やフォレンジック画像の収集が可能なソリューションが不足しています。さらに、こうしたゼロデイのほとんどがソーシャル エンジニアリングなしで悪用できることも、検出の機会を限られたものにしています。

ここ 10 年間で中国のサイバースパイ活動は、わかりやすい広範な侵入から、慎重に実行される集中的なターゲティングへと劇的に変化し、検出が非常に困難になっています。ゼロデイの利用に加えて、こうした脅威アクターは主にネットワークのエッジに注目を移し、インターネットにアクセスできるアプリケーションやデバイスを通じて侵入しています。依然としてフィッシングも行っていますが、北朝鮮やイランのアクターと比べてソーシャル エンジニアリングに依存する程度が低いことは確かです。

中国のアクターが活動をサポートするために使用するインフラストラクチャも変化しました。侵入を受けたシステムのボットネット（自宅やホームオフィスの小型 Wi-Fi ルーターなど）の使用を伴う、複雑で一時的なコマンド＆コントロール スキームを使うことが増えています。こうした進化により、調査員がそれらを追跡することが困難になっています。

中国の脅威アクターによってゼロデイとして悪用されてこなかった脆弱性についても、中国のサイバースパイ活動家は、組織によるパッチ適用前に脆弱性利用型不正プログラムをすばやく実行して攻撃する、驚くべき能力を示しています。その処理のスピードは、明らかになったばかりの脆弱性による機会を迅速に利用するために、彼らが意図的に活動を計画しリソースを投入していることを示唆しています。

FIN11 によるファイル転送ソフトウェアの脆弱性の広範な悪用が確認されていますが、このグループによるこの種のソフトウェアの悪用を確認したのはここ数年で 4 回目です。2020 年末から今日まで、FIN11 は Accellion、SolarWinds、Forta、MOVEit のソフトウェアとハードウェアにわたる複数のゼロデイ脆弱性を悪用しました。

ファイル転送ソフトウェアの脆弱性を利用した大規模な攻撃が成功すると、アクターは追加のラテラル ムーブメントを必要とせずに、多くの組織の機密ファイルに効率的にアクセスできるようになります。たとえば、FIN11 が MOVEit システムに不正に侵入してから数分以内にデータの窃取を開始したケースもあり、この場合アクセスのマネタイズに必要な時間もほぼ確実に短縮されたと見られます。侵入活動をファイル転送デバイスに限定することによって、ネットワーク上でのアクターのフットプリントが減少し、検出の可能性も減少します。また、脅威アクターは、これらのプログラムをターゲットとした不正なアクティビティは、より中心的なネットワーク インフラストラクチャ コンポーネントを標的とした他の侵入や侵入後アクティビティに比べて、ネットワーク防御者によるモニタリングと検出にさらされにくいと考えている可能性があります。

2020 年と 2021 年の Accellion File Transfer Appliance、2023 年の MOVEit の脆弱性の不正利用には、標的のプログラムと対話するように特別に設計されたカスタム マルウェアの開発が含まれていました。これらの活動の明らかな成功を受けて、脅威アクターは、このソフトウェアの理解、脆弱性利用型不正プログラムの開発または購入、ソフトウェアにアクセスするマルウェアの開発に時間とリソースを投資することに価値があるとみなしているはずです。

2019 年以降、金銭目的のアクターは、私たちが特定できる範囲で 30% のゼロデイを悪用しており、これらの大部分は恐喝行為に関連しています。これはこのような活動の収益性が高いことを如実に反映しており、脅威アクターは利益を脆弱性利用型不正プログラムの開発と取得に再投資している可能性が高いと考えられます。Mandiant は、脅威アクターがアンダーグラウンド フォーラムや Telegram チャネルでこういった不正プログラムを宣伝し、模索していることを定期的に観察しています。

たとえば、2023 年 6 月、英語を話す脅威アクター「Vars_Sec」は、リモートでのコード実行を可能にする ZTE デバイスのゼロデイ脆弱性情報を 2,500 ドルで売りに出しました。同様に、2023 年 4 月、エクスプロイト ブローカー「vulns-rock」は、ロシア語フォーラム Exploit.in で Windows LPE ゼロデイを 15 万ドルで宣伝しました。これらの脆弱性利用型不正プログラムが今後も利用可能になることで、ほぼ確実に、このような機能を得るための参入障壁が低くなります。

我々は記録的な「ゼロデイサマー」の真っ只中にいるのか、その真偽はともかく、最近の影響の大きいサイバーセキュリティ イベントの背後にある要因は防御側に大きな損害を与えています。脅威アクターがこれらのアプローチで成功を収め続ける限り、同様のインシデントが発生することはほぼ避けられません。

次に起こる同様のインシデントの正確な性質を予測することは困難ですが、同様のリスクを軽減するための措置を今から講じることはできます。ファイル転送システムに対するこれらの最新のゼロデイ脅威を軽減するために組織が実施できる重要なステップの一つは、MOVEit Transfer: Containment and Hardening Guide に従うことです。

のんびりと夏の日々を過ごすのは、まだお預けです。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• Google Cloud Next をお楽しみに: Google Cloud Next ‘23 の早期割引登録は完売しましたが、カンファレンスにはまだ登録できます。今年の Next は、ジェネレーティブ AI の誕生やサイバーセキュリティのブレークスルーなどのエキサイティングな出来事が続いている中での開催となります。クラウド業界で働いていて、これ以上のことはかつてありませんでした。予定されているセキュリティ セッションをチェックして、今すぐご登録ください。

• より安全な空間 - Confidential Computing が安全なデータ コラボレーションをどのように成長させることができるか: Confidential Computing は、組織がプライバシーを損なうことなくクラウドを最大限に活用できるように、プライバシー強化テクノロジーの新時代を推進しています。詳細はこちら。

• Google Cloud の CDMC 認定アーキテクチャを使用して機密データを移行する方法: 企業はクラウドベースのサービスやプロダクトの導入を加速するにつれて、急増する非常に機密性の高い大量のデータを保護して管理したいと考えています。Enterprise Data Management Council（EDM Council）は、新しい Google Cloud ホワイトペーパーとソリューション ソースコードを Cloud Data Management Capabilities（CDMC）認定クラウド ソリューションとして認定しました。詳細はこちら。

• 機能強化された GKE Security Posture ダッシュボードの一般提供: Google Kubernetes Engine（GKE）のセキュリティ体制ダッシュボードが一般提供になりました。GKE クラスタのセキュリティ管理を効率化するように設計されており、アプリケーションの安全性を確保するために、構成ミスの検出や脆弱性スキャンなどの高度な機能が幅広く組み込まれています。詳細はこちら。

• Assured Workloads への新しいリージョン、機能、サポート対象サービスの追加: Assured Workloads を使用すると、組織はリファクタリングすることなく、世界中の該当する制度へのコンプライアンスをより簡単に達成し、維持できます。Assured Workloads でこのたび一般提供が開始された新しい機能とサービスをご確認ください。詳細はこちら。

• Google Cloud Load Balancing での相互 TLS によるクライアント認証の導入: 外部 HTTPS ロード バランシングを使用してクライアント証明書認証をオフロードできるようにする、フロントエンド相互 TLS（mTLS）サポートのプレビュー版をリリースしました。詳細はこちら。

• データを障害から保護する新しい非同期レプリケーション: 昨今のビジネス環境では、データの可用性と整合性が非常に重要です。障害は業務を中断させ、重要な情報にとって大きなリスクとなります。これに対処するために、Compute Engine ワークロードの障害復旧を可能にする永続ディスク非同期レプリケーションを導入しました。詳細はこちら。

• セキュリティ モニタリングによる財務管理と可観測性の向上: 過去数週間にわたって、セキュリティ モニタリングと可観測性および財務管理（より適切な予算の作成など）をより適切に統合するための新しい機能とソリューションを発表してきました。詳細はこちら。

Mandiant からのニュース

• AI パイプラインを保護する方法: Mandiant のアナリストと脅威対応の担当者はすでにワークフローに Bard を使用しています。これは、脅威をより迅速に特定し、トイルをなくし、状況に合わせて人材と専門性をより適切に活用するためです。さまざまな組織が、Bard を自社の既存のビジネス プロセス、テクノロジー スタック、デリバリー パイプラインに統合し、最終的にビジネス価値を高めるための最適な方法を理解したいと考えています。AI パイプラインを保護するための Mandiant のアプローチは、最近発表された Security AI Framework に基づいています。詳細はこちら。 

• 侵害された VMware ホストの検出、封じ込め、強化の機会: Mandiant の調査員は、脅威アクター グループ UNC3886 によって使用されている戦術やテクニックを検出および阻止するためのアーティファクト、ロギング オプション、強化の手順に焦点を当てています。詳細はこちら。 

Google Cloud Security Podcast

2021 年 2 月に、Cloud Security にフォーカスした週に一度のポッドキャストを開始しました。このポッドキャストでは、ホストの Anton Chuvakin と Timothy Peacock がサイバーセキュリティの専門家たちと、業界がいま直面している特に重要で難しいトピックについて話し合います。今月取り上げたトピックは次のとおりです。

• IAM は実は楽しい？クラウド セキュリティの分野で誰にも知られたくない秘密の一つは、Identity Access Management（IAM）がエキサイティングでダイナミック、そしてさらには楽しいものであるということです。少なくとも、Weave Identity の創設者で IDPro の共同創設者である Ian Glazer 氏はそう述べています。IAM の何がそんなに興味深いのでしょうか？また、クラウド プロバイダごとにどのような違いがあるのでしょうか？ポッドキャストを聴くにはこちらから。

• クラウド環境のセキュリティ保護に役立つ Policy as Code: 誰が学習するべきか、誰が管理すべきか、クラウドのセキュリティ保護にどのように役立つかなど、Policy as Code の新しい世界を詳しくご紹介します。Mondoo の創設者およびプロダクト責任者である Dominik Richter 氏に Policy as Code セラピーのセッションにご参加いただき、Policy as Code が有効に機能しているか判断する方法についてお話しいただきました。ポッドキャストを聴くにはこちらから。

• SIEM の今後の展望 - SIEM の過去はその未来について何を教えてくれるのか: セキュリティ情報およびイベント管理（SIEM）は、長年にわたり実践されてきました。Netenrich のセキュリティ ストラテジストである David Swift 氏と、どのような古い SIEM の教訓が今日でも有効なのか、どのような古い教訓が組織に害を及ぼすのか、最新のクラウド セキュリティにおける SIEM の主なユースケースは何かについて語っています。ポッドキャストを聴くにはこちらから。

Mandiant のポッドキャスト

• 脅威の傾向 - サイバー脅威インテリジェンスへの要件主導型アプローチ: Mandiant の上級脅威インテリジェンス アドバイザーである Jamie Collier 博士がホストの Luke McNamara とともに、インテリジェンスへの要件主導型アプローチの開発に関する Mandiant の最近のホワイトペーパーについて説明し、組織が直面する課題について議論します。また、適切に機能するサイバー脅威インテリジェンス チームに関係者から定期的にフィードバックを提供することの重要性も指摘しています。ポッドキャストを聴くにはこちらから。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、ニュースレターに登録してください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。