全3969文字
PR

認証連携の仕組みを悪用

 攻撃の第2段階では様々な手法を組み合わせ、政府組織や企業のシステム認証基盤で使われる資格情報を入手していた。攻撃対象はWindows Serverでユーザー認証やアクセス制御を担うActive Directory(AD)である。ADにはユーザーが属するドメインから外部のWebサービスやクラウドサービスなどを利用可能とするシングルサインオンやID連携の機能がある。具体的にはSAML(Security Assertion Markup Language)と呼ばれる認証連携の仕組みを悪用し、ADの多要素認証を回避して標的システムに侵入していた。

 一般的なSAMLの仕組みはこうだ。ユーザーがサービス提供者(SP)のアプリケーションなどにログインしようとすると、SPは正当なユーザーかどうかをIDプロバイダー(IdP)に問い合わせる。正当なユーザーの場合、IdPはアクセス権限を認可したトークンをSPに送り返し、SPはトークンを検証してログインを認める。この際、IdPはトークンを公開鍵暗号の秘密鍵を使って署名や暗号化をしており、SPはトークンが信頼できるIdPによって作成されたと検証できる。

 ところが、攻撃者はオープンソースのツールなどを使って秘密鍵を入手していた。これにより、任意のユーザーのトークンを偽造して正規ユーザーになりすまして様々なSPへの不正アクセスを可能にしたり、攻撃者自らが管理する新しい認証連携のIdPを追加したりしていた。こうして政府機関や企業のシステムから欲しい情報を求めて動き回っていたとみられる。

 マイクロソフトのクラウドサービス「Microsoft 365」と同期しているオンプレミスのアカウントの認証情報を不正に取得したり、Microsoft 365のアプリケーションに不正な認証情報を追加して乗っ取ったりしていた。さらにはアプリケーションに割り当てられた正当な権限も悪用し、任意のユーザーとして電子メールの読み取りや送信、カレンダーへのアクセスなどもしていた。ファイア・アイが確認した第2段階の攻撃対象はIT関連企業が44%、政府機関が18%を占めた。

サプライチェーン防御で米大統領令

 バイデン大統領は2021年5月12日、ソフトのサプライチェーン全体のセキュリティー向上を盛り込んだ大統領令を公表した。米連邦政府に納入するソフト開発ベンダーにおけるセキュリティー基準の確立を目指したものだ。米政府がソフトを調達する際は開発者にセキュリティーデータの公開を求めることも含む。

 ソーラーウインズは一連の攻撃を受け、ソフト製品の更新プログラムにおいて、ソースコードとプロダクトが双方向で一致するかを追加チェックする機能を導入した。ソフトに電子署名用の証明書を付与して配布元を認証し、なりすましや改ざんを検知する仕組みも新たに取り入れた。

 同社は自社サイトのブログなどを通じてセキュリティー情報を開示し、透明性を高めて信頼回復に努める方針だ。ガーディナーCROは「国家の支援を受けた大規模攻撃を回避できる企業は世界中にないと考えられるが、情報を公開して信頼を回復したい」と強調した。迅速な情報共有が最大の防御策になる。