原文のブログはこちらからご覧いただけます。
その投資会社では、頭上でドローンの羽根がうなりを上げていることに誰も気づいておらず、また 2 台の小型機が屋上に着陸した物音も聞こえていなかったに違いありません。
しかし、その攻撃用ドローンは着陸するや否や、屋上から企業ネットワークに侵入するという任務を密かに遂行し始めたのです。
これは、ドローンを用いた攻撃が企業のデータ侵害を引き起こした事例として実際に起こったことです。
ドローンを用いたサイバー攻撃の詳細
セキュリティ研究者の Greg Linares 氏(@Laughing_Mantis)は最近、Twitter 上に一連のツイートを投稿し、このドローンベースのサイバー攻撃について解説しています。同氏は調査に直接的に関与したわけではないものの、金融分野での業務の一環で関係者とやり取りがあったと述べています。
Linares 氏によると、事の発端となったのは、今回標的となった米国東海岸の民間投資専門の金融企業が、社内の Atlassian Confluence ページで異常なアクティビティを検知したことでした。セキュリティチームが調べたところ、このアクティビティは自社のネットワークから行われていました。Confluence とは、社内チームが共同作業する際に情報を共有するためのコラボレーションツールです。こうしたツールでは、ミッションクリティカルでリスクの高いプロジェクトや詳細情報を扱う場合がありますが、まさにこれが攻撃者が求めている類の情報だったのです。
同社のセキュリティチームは Confluence サーバーを隔離し、インシデント対応を開始しました。調査を進めているうちに、チームは疑わしいユーザーの MAC アドレス(一意のハードウェア識別子)に関連した異変に気づきました。そしてその MAC アドレスから、当該のユーザーは数マイル離れた場所のデバイスからログインしていたことが判明しました。しかし同時に、同一の MAC アドレスが企業のオフィスにごく近い場所でも使用されていたのです。事実、そのデバイスは Wi-Fi の範囲内という至近距離に存在していました。
そこでインシデント対応担当者は、不審な電波の発生源を特定すべく、環境内の Wi-Fi 電波の追跡を開始しました。以下に示すように、Linares 氏はこの時点で状況を理解することになります。
Wi-Fi を追跡した結果、チームは建物の屋上にたどり着き、そこで改造された DJI 社製ドローンを 2 台発見しました。そのうち 1 台は、従業員が通常接続する Wi-Fi ネットワークになりすますように改造された Wi-Fi Pineapple デバイスを搭載していました。
Wi-Fi Pineapple とは、セキュリティ管理者やホワイトハットハッカーが侵入テストを実施し、システム上の弱点を把握するために使用する商用デバイスです。しかし、このデバイスは中間者(MitM:Man-in-the-Middle)攻撃を実施するための不正なアクセスポイントとして使用される可能性もあります。この種の攻撃では、互いに直接(そしてその相手とだけ)通信しているつもりの 2 者間のメッセージを攻撃者が密かに傍受し、中継します。
今回の場合、Wi-Fi Pineapple が提供する偽の Wi-Fi ネットワークに従業員のデバイスが接続することで、攻撃者が従業員のログイン認証情報や Wi-Fi 情報などのデータを傍受できる状態となっていました。
空からのサイバー攻撃の増加 ?
ドローンを用いたサイバー攻撃は増えているのでしょうか。BlackBerry の主席脅威リサーチャー Dmitry Bestuzhev によると、現に攻撃は増えています。彼はこの傾向は驚くべきものではないとした上で、次のように述べています。「ドローンを用いた攻撃は新しいスタンダードです。ドローンはこれまで現実世界の戦闘資源として活用されてきましたが、今やサイバー空間の攻撃対象領域の一部となっています。」
BlackBerry の Threat Research チームが確認した過去の事例では、標的企業の従業員が入居する高層ビルの窓の外をドローンが飛行し、コンピューターの画面、モニター、ホワイトボードに表示された機密情報を撮影または録画しようとしていました。これは、8 Strange Ways Employees Can Accidentally Expose Data(従業員が意図せずデータを公開してしまう 8 つの奇妙な方法)のリストに加えるべきものかもしれません。
また、この種の攻撃は、しばらく前から醸成されつつあるもう 1 つの傾向を示唆しています。それは、物理的な世界の新たな脅威がサイバー世界での攻撃につながるというものです。
ドローンを用いたサイバー攻撃によって見えてくる、物理的セキュリティとサイバーセキュリティのつながり
BlackBerry の最高情報セキュリティ責任者である John McClurg は、自身が FBI の監督特別捜査官兼支局長だった数十年前を想起し、物理的セキュリティとサイバーセキュリティの融合について次のように語っています。ここで彼が挙げているのは、「フリーカー」(通信ネットワークをハッキングする人物の俗称)に関する事例です。
「フリーカーは電話会社の本社に侵入するため、30 年来の錆びで覆われた物理錠をこじ開けました。そして中に入ると、パスワード、システムマニュアル、機材を素早く盗み出しました。その結果この人物は、最初に物理的な脆弱性を悪用していなければ実現できなかったであろうはるかに巧妙なサイバー攻撃を、拠点のアパートに戻って実行するに至ったのです。」
物理的セキュリティの脆弱性に関連したサイバー攻撃が長年行われているにもかかわらず、ほとんどの物理的セキュリティとサイバーセキュリティの取り組みは依然として高度にサイロ化されており、死角を生み出しています。McClurg は組織に対し、この 2 つの観点のセキュリティを融合することで、どのようにリスクを軽減できるかを検討するよう呼びかけています。
「物理的セキュリティのアクセス方式をサポートするインフラは、今やネットワーク上に存在しています。そうしたシステムの状態を反映するモニターを、サイバーセキュリティの運用担当者が監視しているモニターの隣に配置することで、未明の時間帯のSOC 業務の中でクロストレーニングを行ったり、本来であれば役割が重複する人員を活用したりする機会が得られます。」
「また、この融合により、物理的なレポートとサイバー環境で起こっていることの潜在的な関連性をより迅速に相関させることが可能となるでしょう。」
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、物理的セキュリティ、特に IoT(モノのインターネット)デバイスとサイバーセキュリティの関連性を、以下の図で視覚的に表現しています。
セキュリティの融合に向けたステップ
まとまりのないセキュリティの取り組みを融合することは、一朝一夕でできることではありません。実際、これには何日もの時間を要する可能性があります。しかし、この融合に関する CISA のガイドによると、企業は投資に見合った見返りを得ることができます。
「テクノロジーが急速に進化し、エネルギー、運輸、農業、医療などの分野の物理的資産とサイバー資産のつながりがますます強まるにつれ、セキュリティ機能の融合がもたらす利点が組織の変革に伴う課題を上回ります。その結果、共通のセキュリティ慣行とセキュリティ目標に基づく、柔軟で持続可能な戦略が可能となります。」
ここで、次のような論理的な疑問が生じます。物理的セキュリティとサイバーセキュリティを融合する取り組みは、どのように始めればよいのでしょうか。McClurg はリーダーシップと報告体制が鍵を握るとした上で、次のように述べています。「これらのサイロ化された業務にこれまで関与してきた人材と予算を、1 人の業務責任者の下に置きましょう。最高セキュリティ責任者を任命する場合は、新任の CSO を既存の CIO と対等の立場に置き、両者が同じリーダーに報告する体制を作ることが有効です。これは過去の事例で証明されています。」
また、この取り組みを計画する際には、CISA のガイド「Cybersecurity and Physical Security Convergence(サイバーセキュリティと物理的セキュリティの融合)」を確認しましょう。
ドローンを用いたサイバー攻撃の予防
ここからは、大局的な傾向からさらに踏み込み、組織に対するドローンベースのサイバー攻撃や類似の攻撃を受ける可能性を減らす方法を具体的に解説します。
Greg Linares 氏は次のようなアドバイスを提供しています。
「『ハイブリッドセキュリティイベント』(サイバーセキュリティと物理的セキュリティの両方を組み合わせて環境や個人を侵害するシナリオ)に関しては、何が標的となり得るかを理解することが最も重要です。チームは自分たちの物理的な拠点を確実に調査し、どのような電波が受信できるかや、それらにどこからアクセスできるかを把握しておく必要があります。」と彼は述べています。
「攻撃者は、ごく簡単に入手できる機材を使用するだけで、Wi-Fi、Bluetooth、ZigBee、3G/4G/5G セルネットワーク、NFC、およびその他の無線信号を狙うことができます。また、チームは攻撃者が物理的にアクセスできる場所を把握しておく必要もあります。屋上、空調設備、共有スペース、窓、壁の突起、通路、換気口、駐車場、非常階段のすべてが、攻撃者にデバイスを埋め込む機会を与えています。」
これに加え、Bestuzhev はさらなる防御手段について次のように述べています。「企業はこの脅威に対する注意を怠ってはなりません。ドローン対策技術を導入し、脅威の活動を妨害しましょう。それができない場合は、企業ネットワークへの不正アクセスを予防することにより、脅威モデルを強化する必要があります。」
彼はさらに、次のような指針を提示しています。このうちいくつを実施するかは、組織のリスク選好度や、おそらく予算にも関係するでしょう。
- Wi-Fi の代わりに有線接続を使用する。
- Wi-Fi が必須の場合、単純な Wi-Fi パスワードではなく、デジタル証明書とユーザー認証情報に基づく高度な認証を使用する。
- 業務時間外は停止するなど、スケジュールに基づいて Wi-Fi を無効化する。
- MAC アドレスは平文で送信されるため、保護されていないことを理解する(組織の Wi-Fi トラフィックを盗聴する人物は、MAC アドレスをキャプチャして平文で見ることができる)。
- パスワードを付箋に書かない。
- オフィスで離席する際には画面をロックする。また、プライバシースクリーンを使用する。
- フィードからのシグナルだけに頼るのではなく、熟練のオペレーターがアラートを監視する 24 時間 365 日体制のセキュリティオペレーションセンター(SOC)を検討する。
- 有効なユーザーとその証明書、およびパスワードを定期的に監査する。
- 接続の成功や失敗を含むあらゆる事象をログに記録し、ログをできるだけ長期間保存する。
- 偵察活動と水平展開の検知に注力する(これらは通常、脅威アクターがアクセスを獲得した後で実施される)。
脅威アクターがドローンやその他の物理的ツールを用いてサイバー資産を攻撃することがますます増える中、この指針が組織のセキュリティ体制の改善に役立つことを願っています。
.png)
