米国は、ソニーがサイバー攻撃されたことを受け、北朝鮮に経済制裁を科すことを計画しています。この後、北朝鮮でインターネットブラックアウトが発生したことが報告されています。
今後の展開はわかりませんが、2014年はサイバーテロ元年として人々の記憶に残るでしょう。これまで国家機関が関与したサイバー攻撃(FLAME、Stuxnet、Duqu、Regin、Ghostnetなど)は、すべて秘密のベールで覆い隠されていますが、非常に高度なスピア型のマルウェアが使用されている点から、サイバーテロというよりはサイバースパイ活動と考えることができます。一方、今回のソニーへの攻撃はサイバーテロです。国家機関が関与する隠密攻撃、ゲリラ戦術、プロパガンダ、個人や企業に対する物理的脅威は、インターネット経由で実行されますが、すべてテロリズムだと考えることができます。
被害の詳細
攻撃の全貌はいまだ明らかになっていませんが、ソニーとその従業員が被った被害をまとめると次のようになります。
47,000の社会保障番号(有名な俳優の銀行明細、税務申告書、HIPAAおよび401K情報など)が流出、企業の機密文書(著名人との契約書、売り上げデータなど)が流出、サーバおよびワークステーション上に保存されていたデータが完全消去、大量に蓄積されたパスワードデータが再起動不能、未公開の映画とスクリプトをファイル共有サイトに投稿、企業が秘密にしておきたいメール(ハリウッドスターや米国大統領に関する際どいコメントやエグゼクティブのゴシップなど)が流出。
『The Interview(ザ・インタビュー)』を上映する映画館を攻撃するという脅迫。
ソニーの従業員に対する脅迫。
攻撃の詳細
サイバースパイ活動は、特定の標的に絞り込んで非常に高度な攻撃を隠密裏に行うのに対して、ソニーに対する攻撃はそれほど高度だとはいえません(また、隠密裏でもありません)。
CNNの報告によると、米国の調査チームは、ハッカーがシステム管理者の証明書を盗んだ証拠を掴んでいます。ハッカーはその証明書を使ってソニーのコンピュータシステムに侵入し、そこからソニー全体に攻撃を仕掛けました。
US-CERTも詳細な勧告を発表し、初期侵入に使用されたマルウェア(メディアが「Destover Wiper」と命名)に関する詳細情報を公開しています。このマルウェアはWindows SMB(Server Message Block)ワームであり、リスニングインプラント、軽量バックドア、プロキシツール、ハードドライブ破壊ツール、破壊的クリーニングツールという5つのコンポーネントで構成されています。まず、ブルートフォース認証攻撃でネットワーク内に感染を広げ、外部コマンド&コントロール(C2)サーバインフラに接続します。次に、C2は感染したマシンにコマンドを発行し、窃取したデータの格納場所となります。
上記の内容から、今回の攻撃で明らかになった弱点とコントロール機能の欠如について次の表にまとめます。
| 攻撃 | 問題点 |
|---|---|
| ソニーのインフラに存在する複数の弱点が悪用された。 | 統合セキュリティアーキテクチャがない(詳細は以下を参照)。 |
| アクセス権限の高いパスワードが盗まれ、悪用された。 | 対話型ログインで2要素認証を使用していない。 |
| 韓国とサウジアラビアを標的にした過去の攻撃で使用したマルウェアと、市販のモジュールが使用された | 既知のマルウェアの亜種を検出できなかった。 |
| マルウェアは、検知されることなくソニーのネットワーク全体に感染し、WindowsとLinuxシステムを消去したため、起動不能に陥った。 | 高度なマルウェア検出機能/アプリケーションホワイトリスト機能が導入されていない。 |
| 感染したワークステーションとサーバはC2サーバと通信できた。 | コンテンツフィルタリングと疑わしいインターネットアクセスの拒否を行うサーバとワークステーションのプロキシがない。 |
| 攻撃者のC2サーバに機密データがアップロードされた。 | データ流出防止機能や疑わしいドメインの特定機能が導入されていない。 |
| マルウェアはネットワーク共有を介してソニーのネットワーク全体に感染した。 | マルウェアの感染拡大を阻止するネットワークセグメンテーションや階層型アクセス制御が導入されていない。 |
| 攻撃者は、パスワードで保護されたファイルに格納されているパスワードを、「password」というパスワードを入力することによって窃取した。 | 機密データに強力な暗号化機能が適用されていない。 |
| エンタープライズサーバおよび共有のデータが完全消去された。 | バックアップデータがオフプレミスに保管されていない。 |
| 封じ込めと対応に遅れがみられた。 | ログインの失敗やネットワークフローを監視する機能がない。 |
実際、US-CERTが発表した詳細な勧告では、破壊的なマルウェアへの対策が推奨されています。この勧告には、通信フロー制御、アクセス制御、監視、ファイル分散、アプリケーションハードニング、封じ込め、リカバリ計画が盛り込まれています。以上のように、ソニーは最優先事項のいくつかでミスを犯しました。ブルース・シュナイアー(Bruce Schneier)氏が指摘しているように、ソニーはいとも簡単に攻撃されてしまいましたが、これはどの企業にも起こり得ることなのです。
統合脅威保護によるセキュリティ強化
恐らく、ソニーへの攻撃が進行している間、何らかの兆候がみられたはずです。ところが、大企業のセキュリティチームは、ほとんどの場合が縦割り組織です。さまざまなインフラを異なる部署が購入および運営しているため、各事業部や地域は全体を把握しきれていません。さらに買収、合併、スピンイン、急成長などを経験すると、企業は混乱状態に陥ります。また、ソニーのセキュリティチーフによるインタビューで明らかになったように、コンプライアンスチェックリストに固執すると、セキュリティの本当の問題が後回しになる危険があります。
大きな権限を持つCISOは組織の効率化で能力を発揮しますが、カギとなるテクノロジ要素は、単一ベンダのポイントソリューションの寄せ集めではなく、統合されたセキュリティソリューションにあります。このモデルを実現するには、一元管理が可能なダッシュボードや監視システムとの統合を図り、それによってセキュリティソリューション全体にポリシーを適用することが第一条件になります。
情報セキュリティチームの人員不足は、どの企業も直面している課題です。あるレポートによると、ソニーの情報セキュリティ担当者はわずか11人(ソニーの従業員は7,000人)であり、契約社員もいないと報じられています。これはソニーに限ったことではなく、大規模な組織では珍しくありません。
情報セキュリティ部門が大量の業務を多重的にこなすには、操作性の優れたベストオブブリードのセキュリティソリューションを導入するしかありません。学習に時間がかかり、運用オーバーヘッドが発生する複雑なソリューションを導入してしまうと、設定を誤りやすく、役に立たない情報を収集するだけで、保護するはずの弱点がさらに露呈する結果に陥りかねません。
バラクーダネットワークスは、このような統合セキュリティアーキテクチャとして統合脅威保護をお勧めします。統合脅威保護の詳細については、こちらをクリックしてください。
※本内容はBarracuda Product Blog 2015年1月30日Sony Breach: The need for Total Threat Protectionを翻訳したものです。
Neeraj Khandelwal
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』2月19日付の記事の転載です。
ハイブリッド環境で100超のマイクロサービスを監視 - マネーフォワードのオブザーバビリティ