2023 年の MOVEit ハッキングのようなサイバー攻撃が世界的なニュースの見出しになると、影響を受けた組織の名前や影響を受けた人の数に注目が集まります。このような注目が集まるのは理解できますが、MOVEit のような攻撃で何が起こったのかを適切に分析することは、組織が同様のインシデントに見舞われるのを防ぐための具体的なサイバーセキュリティ手順を開発するのに役立ちます。
この記事では、Moveit ハックについて概要を説明し、ビジネスにとって実用的な重要なポイントをいくつか引き出すことを目的としています。
MOVEit ハックとは何ですか?
2023 年 6 月 6 日、悪名高いロシア関連のランサムウェア グループである Clop が、Progress Software の MOVEit 転送ツールを標的とした攻撃の犯行声明を出しました。
この企業向けファイル共有ソリューションは、米国に広範な顧客ベースを持っています。組織は安全なファイル転送のために MOVEit を使用します。これは本質的に、Dropbox のような人気のあるファイル共有ツールのより洗練されたプロフェッショナル バージョンです。
2023 年 5 月、Clop のサイバー犯罪者は MOVEit のこれまで知られていなかった脆弱性を発見し、悪用を開始しました。 MOVEit の脆弱性により、Clop ハッカーが IT 環境にアクセスして機密データを盗むことが可能になり、最大 130 の組織が下流の影響を受けました。
MOVEit ハッキングは、Clop のようなグループが最初に悪名を博した古典的なランサムウェア攻撃と同じではありませんでした。 .clop ランサムウェア ファイルをインストールする攻撃者によってシステムがロックダウンされ、アクセス不能になったという証拠はほとんどありませんでした。
その代わりに、今日のハッカーがデータに重視する価値をさらに実証するこの攻撃では、約 1,600 万人に属する個人情報が侵害され、システムから流出しました。
Clop ハッカーがこのデータを使用したり、そこから利益を得たりする方法は数多くあります。最も明白なのは、ランサムウェア犯罪組織が近年移行している恐喝戦術です。
ハッカーはシステムをロックダウンして身代金を要求する代わりに、機密データを盗み、企業が支払いをしなければオンラインで公開すると脅迫します。また、怪しげなダークウェブ市場でデータを販売し、他のサイバー犯罪者がそのデータを利用して詐欺や詐欺行為を行う可能性もあります。
攻撃はどのようにして起こったのでしょうか?
MOVEit 攻撃をさらに詳しく調べると、戦術と原因に関する追加の有益な情報が明らかになります。まず、これは企業が直面するソフトウェア サプライ チェーンのセキュリティ リスクの増大を示す明らかな事例でした。
多くの企業は、自社のサービスやアプリのサプライ チェーンの要素として有用なソフトウェアやコードを提供するサードパーティに依存していますが、この依存は、ソフトウェア サプライ チェーンの脆弱性を介してネットワーク上のデータやその他のリソースにアクセスされる可能性も意味します。
考慮すべきもう 1 つの重要な側面は、MOVEit ソフトウェアの Clop によって悪用された脆弱性がゼロデイだったということです。サイバー犯罪者がこれらの脆弱性を非常に高く評価しているのは、ベンダーが脆弱性を修正する時間がない (ゼロ日) ためです。
MOVEit の余波から得られた新たなデジタル フォレンジック分析によると、ハッカーは 2021 年に遡り、どの程度のアクセスが得られるかを秘密裏にテストしていたときに、MOVEit のゼロデイ欠陥について知っていたことが示唆されています。
この脆弱性は SQL インジェクションに関連していました。アプリケーションへの共通のエントリ ポイント。このような種類のソフトウェア コードの弱点により、データ操作やデータベース アクセスが可能になります。 MOVEit ハッキングは、SQL インジェクションの欠陥を手動でテストすることから、自動化された方法で多数の組織を悪用することにまで発展しました。
実際のハッキングは、SQL の脆弱性を悪用して MOVEit にバックドアをインストールし、ファイル転送ソリューションを使用して組織からのデータのダウンロードを容易にすることで機能しました。その後、クロップギャングのメンバーらは、顧客や従業員に関する個人情報が盗まれてオンラインに公開されることを避けたい場合、企業が支払いを行う期限を6月14日と設定した。
MOVEit 攻撃の影響
個人データが侵害された何百万人もの人々は別として、その多くは影響を受けた組織の従業員でしたが、このサプライチェーン事件の被害を受けた企業の一部を見ると、現代の高度なサイバー攻撃キャンペーンの広範囲にわたる影響について多くのことがわかります。
ゼリス
数十の大企業が使用する人気の給与計算プロバイダーである Zellis が MOVEit の欠陥を通じて侵害されたという事実は、このサプライ チェーンのインシデントが Zellis の顧客の一部に広がることを意味しました。これは、ソフトウェア サプライ チェーン侵害の連鎖的な影響を示しています。
BBC
英国の国営放送が被害者の1人であることが判明すると、世界中のメディアがMOVEitハッキングに即座に注目した。 BBCもゼリス氏が情報漏えいの被害を受けた組織の一つだったようだ。薬局会社ブーツ社や旅客機ブリティッシュ・エアウェイズも被害を受けた。
ノートン ライフロック
個人情報盗難防止ソリューションとウイルス対策ツールで有名なノートンが、この攻撃によりデータ損失に見舞われたのは少々皮肉なものでした。その後、従業員のデータが内部システムから盗まれたという声明が浮上した。
今後の同様の事件を防ぐためのヒント
サプライチェーンをマッピングする
ソフトウェアのサプライ チェーンをマッピングすることで、ソフトウェアがどこから来たのか、どのコンポーネントが使用されているのか、サプライヤーは誰なのかをより深く理解できるようになります。これは、物理的なサプライ チェーンと同様の概念です。オープンソース プロジェクトとサードパーティのライブラリ、フレームワーク、アプリに依存するという共通点により、徹底した透明性と可視性が必要になります。これにより、攻撃者によって悪用される可能性のあるチェーン内の潜在的な弱点 (更新がほとんどないオープンソース プロジェクトなど) を特定して理解することができます。
サードパーティのリスク管理を強化する
サードパーティ リスク管理 (TPRM) 戦略を戦略的に改善すると、サプライ チェーン攻撃からネットワークを保護するメリットが得られます。コードまたはアプリのいずれかをビジネスの機能に貢献する関係者に要求する内容を強化することを検討してください。オープンソース プロジェクトに対してデュー ディリジェンスを強化し、ベンダーにサイバーセキュリティ フレームワークに準拠するよう依頼し、場合によっては、サードパーティ ソフトウェア ベンダーがネットワーク環境にアクセスすることに同意する前に、少なくとも年に一度の侵入テストの証拠を確認するよう要求する必要があります。
ゼロトラストへの移行
ゼロ トラスト アーキテクチャは、ネットワークの安全な境界内で動作するユーザー、システム、サービスが自動的に信頼されることを指示しないセキュリティ モデルです。代わりに、認証はコンテキストとリスク要因に基づいて継続的に検証される必要があります。ゼロトラストのいくつかの原則により、サプライ チェーンのハッキングに対する回復力が強化されます。
- ゼロ トラスト アーキテクチャは、デフォルトで最小特権アクセスを実装します。ハッカーが脆弱なサードパーティのコードやアプリを介して環境にアクセスした場合、最小特権アクセス モデルにより実行できることが制限されます。
- ゼロ トラスト モデルの重要な部分は、ネットワークをより小さな独立したセグメント (マイクロセグメント) に分割することです。ハッカーが脆弱なソフトウェア コンポーネントを悪用した場合、その特定のネットワーク マイクロセグメントにしかアクセスできない可能性があります。
- ゼロトラスト アーキテクチャでは、ID と権限を継続的に検証する必要があります。通常は必要のないリソースにアプリがアクセスしようとするなど、異常な動作が発生すると、アラームや自動保護応答がトリガーされる可能性があります。これには、ソフトウェア サプライ チェーン侵害の爆発範囲が含まれる可能性があります。
ソフトウェア サプライ チェーン攻撃を完全に防ぐシステムはありませんが、ゼロトラスト アーキテクチャを実装すると、攻撃者のアクセスと機能が制限されるため、侵害の潜在的な影響が大幅に軽減されます。
侵入テストアプリ
ゼロデイ脆弱性を悪用して 100 社以上の企業に被害を及ぼした後、MOVEIt のコードに無関係な別の脆弱性があり、悪用の可能性がある別の経路を開くさらなる証拠が明らかになりました。
おそらく、MOVEit の IT チームと開発チームがこのインシデントを防ぐ上で見落としていた最も重要なことは、そのコードを徹底的にペネトレーションテストすることの価値でした。侵入テストでは、熟練した倫理的ハッカーが、Clop が検出して悪用した SQL インジェクションの弱点を正確に調査し、調査します。
継続的侵入テストを選択する
MOVEit ハッキングのようなインシデントからネットワークやアプリを保護するには、散発的または頻度の低い侵入テストでは十分ではありません。
DevOps などの最新の開発手法では、アプリに定期的に新機能を追加することが求められますが、これによりセキュリティ上の弱点が生じる可能性があります。サイバー犯罪者は常に Web アプリを調査して、Web アプリに侵入する新しい方法を考え出します。
組織は伝統的に、ポイントインタイムの演習として侵入テストを実行します。
問題は、Web アプリと脅威の状況の両方における変化のスピードが、これらのテストの結果をすぐに追い越してしまうことです。さらに、組織はペネトレーション テストを継続的に行うものではなく、チェックを入れるコンプライアンス ボックスとして扱う傾向があります。
サービスとしてのペネトレーション テスト (PTaaS) は、企業を時代遅れのテスト モデルから、リアルタイムの自動スキャンとより定期的な手動テストの組み合わせへと移行させます。
Outpost24 の SWAT は、 SaaS ポータル経由で利用できる革新的な PTaaS ソリューションです。 SWAT を使用すると、インターネットに接続された Web アプリケーションを継続的に監視して、誤検知をゼロにしながら新しいソフトウェアの脆弱性をより迅速に検出して修復できます。
この継続的な自動テストに加えて、SWAT は、カスタマイズされた頻度で、またはその他のニーズに基づいて手動テストを実施できる、高度なスキルと経験を備えたペネトレーション テスターのチームも備えています。
多角的なアプローチ
MOVEit 攻撃のような高度なハッキングに対抗するには、多面的なアプローチが必要であり、サイバーセキュリティ戦略の特定の要素を再考する必要があります。
ゼロトラストに移行し、サプライチェーンの可視性を高めるよう努め、従来の手動アプローチよりも早くコードの脆弱性を発見する継続的なペネトレーションテストを選択してください。
Outpost24 の SWAT PTaaS プラットフォームは、基盤となるコードからサードパーティ ライブラリ、API の欠陥に至るまで、最新の Web アプリ エコシステムの潜在的な弱点をすべて見つけるのに役立ちます。
Outpost24が後援および執筆
Comments