このレポートの 4 ページ目にある第 1 段落の文章を読むと「ハッカー集団 FANCY BEAR(ファンシーベア)は、ロシア連邦軍参謀本部情報総局( GRU )の第 85 特殊サービス主局(別名 26165 部隊)に関連する組織です。」と、ソリッドかつ事務的な事実として、三省堂国語辞典なみに明解に言い切られている。なんなら FANCY BEAR に所属する個人名も列挙できますけどね的な空気すら行間には漂う。
● CrowdStrike 独自の研究調査姿勢
事実このレポートを公開した CrowdStrike 社にとって、APT を行う組織や集団のアトリビューションを精緻かつ粘着的に行い、所属すると推定される特定の職員の顔写真をブログにさらしたり、ヤサ(住居)を Google マップで探したり、勤務先の建物をストリートビューで特定して見せたりといった、調査研究活動としては幾分武闘派な姿勢は、なにも今に始まったことではない。
国際的にロシアを叩きやすい世論が醸成されているからそれに乗っかっているなどということは全くなく、昔から CrowdStrike は「リサーチ」と称して、こういうたぐいの肝の太いこと(中露北等の APT 組織の糾弾[きゅうだん:罪・責任を追及して非難攻撃すること(三省堂新明解国語辞典)])をせっせとやってきた奴らである。本誌はそれを「 APT(高度かつ持続的な脅威)」よろしく「高度かつ持続的リサーチ」と敬意をこめて呼んだこともあった。
極論してしまえばセキュリティ企業の発行するレポートや資料はどれも、最終的には自社製品のマーケティングと販促をゴールとすることが宿命づけられているという点で、全て我田引水のポジショントークであることに疑いの余地がない。しかし、中にはレポートの最後まで目を通して、そこから世界を変えようとする熱量をうっかり受け取ってしまえるような奇特な資料も存在する。同社のレポートにはそういうものが少なくない。
CrowdStrike 社による本レポート「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」は 2022 年発行。総ページ数 14 ページ。
クラウドストライクのレポートといえば総ページ数 40 から 50 ページにも及び、独自情報にもオピニオンにも乏しくデザインとレイアウトだけでかろうじて体面を保っているあまたの「自称ホワイトペーパー」を赤面させてしまうような骨太の資料が多いが、本レポートは、総ページ数が 14 ページとコンパクトである。
「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」は、年次で刊行される「 Global Threat Report 」最新版の、いわば副読本的位置づけでもある資料で、クラウドに関連する脅威のみを集中して取り上げている。
●設定ミスだけがクラウドの問題ではない
2020 年の暮れ、大手クラウドサービス Salesforce の設定に起因する情報流出の問題が同時多発的に国内外で発生した。しかしこれはあくまで、ユーザー自身の設定によって起こった事象であった。企業システムがクラウドに移行していくことでこれから一体どんな脅威が現れるのか、緊張感を持って事態の推移を見守っていた管理者にとっては、足元が崩れて同時に天井からタライが落ちてきたような出来事でもあった。
複雑怪奇にしてインタフェースやドキュメントの大半は英語、しかも日々サービスとして進化を続け、DevSecOps を地で行く各種クラウドサービスを適切に管理するため、CSPM(Cloud Security Posture Management)等のサービスがこれをきっかけに急速に広まった。
設定不備等々によるインシデントは、今後も重要なリスクのひとつであることは間違いないだろう。しかし、それが唯一の脅威であるなどということは全くない。
本レポート「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」は、設定不備のような、いわば牧歌的なクラウドの課題とは全く別次元にある脅威、すなわち、クラウドコンピューティング環境にデジタル後進国ニッポンがうらやむほどに高いレベルで自ら適合し、進化と洗練を繰り返す、明るい光をすべて吸収するような真っ黒な悪意に関するレポートである。
● 3 つの被攻撃領域と 5 つの攻撃ベクトル
本レポートは大きく「クラウドストライクが注視する 3 つの被攻撃領域」を示し、それらの 3 つのアタックサーフィスに対して行われる「 5 つの具体的攻撃手法」の概説によって構成される。
たとえば注視する 3 つの被攻撃領域のひとつとして 01 には「まだ機密データを含んでいる、使用中止が予定され、放置されているクラウドインフラストラクチャ」が挙げられている。
「 CrowdStrike が確認している 1 つの傾向は、攻撃者が使用中止が予定されている、またはさまざまな理由から放置されているクラウドインフラストラクチャを標的にしている点です。こうした攻撃経路は、インフラストラクチャがセキュリティ設定の更新と定期メンテナンスを受けなくなったことに起因しています。残念ながら、こうした環境では、監視、詳細なログ作成、セキュリティアーキテクチャやプランニング、セキュリティ体制の修復などのセキュリティ制御は行われていません。(「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」p 8 から引用)」
また具体的攻撃手法では「クラウドの脆弱性の悪用」「認証情報の窃取」「クラウドサービスプロバイダーへの攻撃」ほか計 5 つの具体的な攻撃ベクトルが挙げられ、概略が解説されている。
「悪意ある攻撃者は、サーバーソフトウェアの既知の RCE(リモートコード実行)の脆弱性を悪用する傾向がありますが、通常、特定の業種や地域に限定せず、脆弱なサーバーをスキャンします。最初にアクセスした後で、脅威アクターはさまざまなツールを展開する可能性があります。初期アクセス取得のために行われるクラウドサービスのよくある犯罪的悪用には、AccellionFTA 脆弱性のエクスプロイトが含まれます。2021 年 1 月以降、複数の企業が、このような脆弱性の悪用に関連する侵害を自己開示しています。VMware もまた脅威アクターの標的になりました。これには、VMware ESXi、vCenterServer、Cloud Foundation 製品に影響する重大な脆弱性 CVE-2021-21972 も含まれます。この脆弱性を標的にすることで、脅威アクターは、複数のホストオペレーティングシステム、攻撃ベクトル、侵入ステージのすべてで利用できる確実性の高い攻撃手法を手に入れます。複数の攻撃組織、特に BGH(ビッグ・ゲーム・ハンティング)を行うアクターはこの脆弱性を存分に悪用したと見られています。(「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」p 4 『クラウド脆弱性の悪用』から引用)」
クラウドコンピューティングという、変化が早い領域である特性上、体系的に整理したレポートというよりは、CrowdStrike が毎日のハンティングやインシデントレスポンスの現場からの「速報」「短信」的資料として目を通すべきかもしれない。
特に 8 ページに記載があった、多要素認証のバイパス方法を 3 つ列挙するところは、構成上若干の唐突さを感じ、資料の整然さよりもユーザー企業へ警鐘を鳴らすべきところと重要度を優先して、割り込ませて記載したような印象を持った。どうしても言及せねばいられなかった編集意図かもしれない。
●世界で最もよくサイバー攻撃者を知る研究組織
サイバー攻撃は、たとえフォレンジックを行ったとしても実際に何がどういう順序で起こったのかの完全な解明は容易ではなく、攻撃をした本人に聞いてでもみなければ真相はけしてわからないとも言われる。クラウドとオンプレミスにさまざまなシステムやアプリケーションが存在し、縦横斜めに通信を行う現在、その傾向は一層強まっている。
多くのセキュリティ先端企業は、APT 等の高度なサイバー攻撃組織や集団を数字でナンバリングしているが、一方で CrowdStrike は攻撃組織に紐づく民族を表す動物とセットで組織を命名、分類を施す点で異彩を放つ企業である。攻撃者が誰なのか、何をしているのか、それを知ろうとする意欲には情熱とさえ呼べるものがある。クラウドでいま何が起こっているのか、その実像に最も近い情報のひとつであることには一定の信頼が置ける。
冒頭の、人民解放軍のサイバー攻撃担当将校の「バーチャル家庭訪問」「建物探訪」をストリートビューで行った例を挙げるまでもなく、世界で最も高度なサイバー攻撃を行う組織に詳しい企業のひとつである CrowdStrike の当該レポート「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」は、クラウド時代のセキュリティ担当者と情報システム部門、経営企画部が参考資料として手元において損はないものだろう。
「クラウドの守護神:クラウド環境への脅威の高まりに立ち向かう」
クラウドストライク株式会社(2022年/PDF形式/14ページ/12.2 MB)
