トップナビゲーションをスキップ
BlackBerry ThreatVector ブログ

最前線から得た教訓:パッチまでの時間の短縮

Update Software Computer Program Upgrade Internet Concept.

本ブログ記事は、2020年9月23日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

この記事は、BlackBerryインシデント対応(IR)チームによるシリーズ記事の第1回目です。IRチームは、インシデントの発生を阻止するか、その影響を大幅に減らす重要な行動について調査しています。最近注目を浴びている重大な脆弱性(外部に接続されているデバイスに関するものも含む)の動向により、これらの教訓はますます重要性を増しています。以下に示すのは、パッチの適用や願わくはセキュリティ侵害の兆候を見つけようと、セキュリティ担当者をとりわけ忙しくさせている顕著な事例です。

  • Citrix - CVE-2019-19781
  • F5 - CVE-2020-5902
  • Palo Alto - CVE-2020-2021
  • Cisco - CVE-2020-3330, CVE-2020-3323, CVE-2020-3144, CVE-2020-3331, & CVE-2020-3140
  • Microsoft - CVE-2020-1350

インサイト

IRコンサルタントとして、私たちは社内チームが追加の支援を必要とする段階まで悪化した状況に関わることがよくあります。その結果、極限状態をたくさん見ることになります。多数のセキュリティ侵害の根本原因を調査できれば、良くも悪くも決定的な瞬間となる、インシデントの重要な転換点を知ることができます。

言うまでもなく、はるかに低コストで悪影響が少ないため攻撃は事前に阻止するのが一番です。しかしながら、それは必ずしも可能とは限りません。BlackBerryのインシデント対応チームが確認したセキュリティ侵害は、通常、人間の弱点(フィッシング)、脆弱な外部アクセスメカニズム、パッチが適用されていない外部の脆弱性という3つの問題のうちの1つ(またはいくつか)が主な原因となって起きています。きわめて成熟した階層的なセキュリティ体制を敷いている場合でも、意欲的で潤沢な資金を持つ脅威アクターは、最終的に初期アクセスを行える可能が高くなります。とはいえ、打つ手がないわけではありません。攻撃の大部分を阻止するか、少なくとも被害を抑えるために役立ついくつかの重要な軽減策があるからです。

トレンド

最も重要な軽減策は最初のコンピューターバグと同じくらい古いものですが、経験豊富な大きな組織でも見過ごされがちなものです。それは、脆弱性管理です。脆弱性管理は単なるパッチ管理と見なされることが多いのですが、計り知れない複雑さとリスクを秘めています。結論として、セキュリティ担当者はすべてにパッチを適用する必要があります。パッチが適用されていない脆弱性が1つでも見つかれば、攻撃者は利益を得ることができます(それが攻撃者が見つけようとしていた脆弱性である場合)。

その証拠に、番号CVE-2019-19781が割り当てられたCitrixの脆弱性に起因するIR調査が最近増える傾向にあり、私たちは脅威アクター(TA)がそのエクスプロイト活動の初期段階に力を入れていることに気づきました。要するに、公表されている脆弱性をその時点で目標を達成することは考えずに(攻撃者側の帯域幅に制限があるため)短い所要時間で悪用できるようにしておき、、バックドアをインストールして後でもう一度訪れようとします。

これは、外部に接続されているシステムのパッチが適用可能になる前に、その環境への足掛かりを得るための競争のようなものです。バックドアがインストールされると、元の脆弱性にパッチを適用しても、その環境への攻撃者のアクセスを排除することはできなくなります。

つい最近のF5(CVE-2020-5902)の脆弱性の事例では、ベンダーが脆弱性を公開してから3日も経たないうちにNCCはハニーポットのスキャンを確認しました。さらに、4日も経たないうちに最初のエクスプロイトが発生し、わずか5日後には利用可能なエクスプロイト(Metasploitなど)が公開され、6日後にはエクスプロイトの活動が増加しました。この脆弱性が公開されたタイミングも解決を難しくしました。状況が急速に悪化したのは7月4日の祭日と重なる週末の直前から週末中にかけてであり、セキュリティチームの対応を遅らせることになったからです。

脆弱性のリスクに基づいてパッチを適用および検証するための大まかな時間枠を定めた各種の推奨事項があります。しかし、エクスプロイトが公開されるか、システムの悪用が実際に報告されるまでは安全だという前提で運営されている組織も未だ存在します。これは、Citrix CVE-2019-19781の事例で明らかになったことです。脆弱性の発表から1か月半近く経っても、5社のうち1社は依然としてパッチを適用していないと推定されたのです。

図1:脆弱なシステムにパッチを適用して被害を防げると考えられている期間

しかし、このパッチの適用により被害を防げる期間は、実際には大幅に短くなってしまいます。さまざまな脅威アクターが、実行可能なエクスプロイトを必死に作成して、多くの組織にバックドアを一斉にドロップしようとするからです。特に脆弱性を容易に悪用できてしまうような場合は、この期間が短くなってしまう恐れがあることを頭に入れておく必要があります。

重要ポイント:

  • 特に外部に接続されている悪用されやすいシステムに対しては、一刻も早く脆弱性に対するパッチを適用する必要があります。
  • 脅威アクターがすでに侵入していることもあることから、パッチの適用だけでなく、脆弱性に関連する侵入の痕跡(IOC)を検知するのに必要な可視性と機能を備えていなければ、セキュリティを確保したと安心することはできません。

 効果的な脆弱性管理プログラムの作成に関するヒント:

  • 脆弱性管理プログラムへの経営陣の支援を取り付ける。
  • 責任を持って真剣に取り組む担当者を任命する。
  • 最新の脆弱性、パッチ、エクスプロイトのリリースを追跡する。
  • 自社の環境について、新たなことを発見し、学習して、理解を深める。
  • すべてのものを完全かつ頻繁にスキャンする。
  • 以下に基づいて脆弱性の優先順位を決める。
    • リスク
    • 公開されているエクスプロイト
    • システムの重要性
    • 外部に公開されているかどうか
  • システムの所有者に脆弱性を割り当てて、修復されるまで追跡する。
  • 修復の再スキャンと検証を行う。
  • 環境の現在の状態と進捗を追跡して利害関係者と共有する。
  • ここに示したことを繰り返し実践する。

まとめ

外部からアクセス可能なほとんどのアプリケーションは多くの場合、顧客向けの収益を生み出すサービスや重要なサービスを提供していることも、脆弱性の管理を難しくしています。そうしたシステムへのパッチの適用には、業務の中断というリスクがつきものです。

幸運にもセキュリティ侵害やランサムウェアへの感染をこれまで経験したことがない場合でも、これから先何も起きないとは限りません。被害に遭うと、復旧という鋭い痛みを伴うことになりますが、その痛みは時間とともに薄れていってしまいます。ですから、これも「いい経験」だと思って無駄にしないことです。そうした痛みを経験した企業は、その経験を、新たな観点から社内のリスクに対する意識を高めていくために活かすことができます。経験から直接学ぶ機会がなかった場合は、当ブログの記事が脆弱性に対処するための優先順位を設け、大きな違いをもたらす手短の助言を得るのに役立つことを願っています。  

Tony Lee

About Tony Lee

グローバルサービステクニカルオペレーション担当副社長、BlackBerry

BlackBerryのグローバルサービステクニカルオペレーション担当副社長のTony Leeは、15年余りの専門家としての調査とコンサルティングの経験を通じて情報セキュリティのあらゆる分野に精力的に取り組んでいます。熱心な教育者として、政府、大学、企業、Black Hatなどのカンファレンスをはじめとする、世界中のさまざまな場所で数千人の学生を指導してきました。『Hacking Exposed 7』の寄稿者としてあらゆる機会を利用して知識を共有しているほか、熱心なブロガー、調査担当者、そしてCitrix Security、China Chopper Webシェル、CiscoのSYNFul Knockルーターインプラントなど、幅広いトピックのホワイトペーパーの著者でもあります。長年にわたって、UnBup、Forensic Investigator Splunkアプリ、ホームユーザーからSOCアナリストまで万人向けに設計された拡張可能な脅威インテリジェンスボットフレームワークのCyBotなど、多くのツールをセキュリティコミュニティに提供しています。


Mark Stevens

About Mark Stevens

インシデント対応担当テクニカルディレクター、BlackBerry

BlackBerryのインシデント対応担当テクニカルディレクターのMark Stevensは、情報技術分野での20年に及ぶ経験があり、ここ13年間は情報セキュリティを中心に取り組んできました。Markは6年以上にわたり、グローバルAPTインシデント対応とランサムウェアインシデント封じ込めの事例に取り組んでおり、きわめて困難な問題に直面した世界中のお客様に支援と助言を提供しています。 SIEMツールが成熟期を迎えていた頃に、画期的なセキュリティ監視ソリューションの開発に取り組み、サイバーセキュリティの道を歩み始めました。セキュリティに魅了された彼はインシデント対応の最前線に立ち、国家が支援する、非常に高度なAPTの事例や最大規模のランサムウェア攻撃に積極的に取り組んでいます。 現在、Markはテクニカルディレクターとして、5か国にまたがる優秀なインシデント対応担当者が集まったグローバルなチームを現場で指揮しています。