全2005文字
PR

 米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2020年9月下旬、ある政府機関のネットワークが不正侵入されて情報を盗まれた恐れがあると明らかにするとともに、攻撃の詳細をまとめたリポートを公表した。

CISAが公表したリポート
CISAが公表したリポート
(出所:CISA、https://us-cert.cisa.gov/ncas/analysis-reports/ar20-268a)
[画像のクリックで拡大表示]

 どの政府機関がどの程度の被害を出したかは伏せているものの、CISAがここまで詳細なリポートを公表するのは珍しい。特定の機関を狙った攻撃だったものの、近年よく見られる典型的な手口が幾つも使われた。一般の企業や組織にも参考になると考え、異例の公表に踏み切ったと思われる。一体、どのような攻撃だったのだろうか。

正規ユーザーになりすます

 CISAのリポートによると、攻撃は次のような手順を踏んだという。

  • 正規のアカウントを使ってネットワークに侵入
  • Windowsコマンドを使ってネットワーク構成を調査
  • 侵入経路(SSHトンネル)を構築
  • 多段階のマルウエアを実行
  • 盗んだ情報を圧縮ファイルにして窃取

 攻撃者は、Microsoft 365(旧称Office 365)アカウントとドメイン管理者アカウントの資格情報(パスワード)をそもそも複数所有していたという。CISAは、攻撃者がこれらの資格情報をどのようにして取得したのか特定できなかった。

 ただ、米パルスセキュア(Pulse Secure)のVPN製品の脆弱性(CVE-2019-11510)を悪用して取得した可能性が高いとしている。多くの政府機関でこの脆弱性を突いた攻撃が確認されているためだ。

 攻撃者は入手したアカウントを使ってメールサービスにログイン。件名に「イントラネットアクセス」や「VPNパスワード」が含まれるメールを探した。ヘルプデスクなどから配布された別のアカウントの資格情報を盗もうとしたとみられる。

「自給自足」の攻撃がはやり

 その後攻撃者は、所有している資格情報を使ってRDP(Windowsのリモートデスクトップが使うプロトコル)で政府機関のネットワークに侵入。ipconfigやnet、query、netstat、ping、whoamiといった一般的なWindowsコマンドを使ってネットワークやホストを調査した。

 このように、侵入したネットワークやホストにあるツールを悪用するサイバー攻撃を「Living Off The Land(LOTL)攻撃」と呼ぶ。「自給自足型攻撃」や「環境寄生型攻撃」などとも呼ばれる。正規のツールを利用するため、攻撃の一環であると見抜きにくい。近年のはやりである。

 ネットワーク構成を把握した攻撃者は、政府機関のネットワークにあるファイルサーバーから攻撃者のサーバーにSSHで接続。攻撃者のサーバーから操れるようにしたという。