ブログ(製品・サービス関連)

長期化するゼロデイ脆弱性のリスク

2021年3月に修正パッチが公開されたものの、Microsoft Exchange Server脆弱性の影響が深刻化した理由の一つに、攻撃の長期化が挙げられます。パッチが公開の3月より以前、おそらく1月ごろから攻撃は始まっていたと推測されています。つまり、パッチを当てただけではその間に発生した侵害の対応とはならず、知らないうちに侵害を深化させてしまうリスクがあるのです。例えば、それ以前に生成された不正なWebShellはそのまま残るということです。こうなると、たとえシステム全体に対する脆弱性診断などを実施しても、根本問題は解決しませんし、侵害を見つけることもできません。

本脆弱性に限らず、長期間攻撃に使用されていたゼロデイ脆弱性に関しては、パッチ適応だけでなく迅速な侵害の有無の調査が重要です。さらに侵害されている場合には、その状況を正しく把握し、対応する必要があります。

ハンティングとは

ハンティングとは、そういった侵害の有無を把握するための手段の方法の一つです。ハンティングには既知の侵害情報に基づいて行われるものと、今回のように影響度が高い侵害について積極的に行うハンティングの二種類があります。FireEyeでは後者に当たる侵害をCPE(Community Protection Event)と呼んでおり、今回のExchangeサーバ脆弱性はCPEに相当しました。ハンティングをお客様自身が実施されることもありますが、多くの場合、MDRベンダーによって行われています。FireEye でハンティングを実施するのは Mandiant Managed Defense チームです。Mandiant Managed Defense は FireEye が提供する MDR サービスで、エンドポイントやネットワークに残された痕跡やアラートから侵入の兆候を見つけ出し、侵入が侵害にまで発展する前に食い止めることをミッションとしています。

Mandiant Managed Defense によるExchange Serverゼロデイ脆弱性ハンティングの流れ

2021年1月の時点ですでに、Mandiant Managed Defense の複数のお客様環において、Microsoft Exchange Serverの脆弱性の悪用が確認されていました。その時の調査で、以下の不正活動を観測しています:

2021年1月の時点ですでに、Mandiant Managed Defense の複数のお客様環において、Microsoft Exchange Serverの脆弱性の悪用が確認されていました。その時の調査で、以下の不正活動を観測しています:

  • 不正に作成されたファイルはWindows OSの特権アカウント、NT AUTHORITY\SYSTEM が所有者
  • UMWorkerProcess.exe (Unified Communication 担当プロセス)がWebShellを作成
  • w3wp.exe(Web担当プロセス) が悪意あるファイルを作成

以上の不正活動検知を受け、Mandiant Managed Defense チームは、まだExchange Server上の不正活動が見つかっていないお客様に対しても、CPEに基づくハンティングを実施することを決定しました。また、調査の過程で明らかになった情報を元に、不正なWebプロセスの連鎖を検知できるようにしました。

では、実際にどのような流れでハンティングが実施されたのでしょうか。

  1. 2021年3月2日:マイクロソフト社による脆弱性情報公開
  2. 2021年3月4日:Mandiant Managed Defense契約顧客すべてを対象としたプロアクティブ・ハンティングの実施
    a. エージェントを用いて端末(サーバ含む)上で実施されているすべてのExchange Serverを発見
    b. 同時に担当者から、管理下にあるExchange Serverをヒアリング
    c. aおよびbに対してハンティングを実施
  3. 2021年3月24日までにすべてのハンティングを終了
  4. 今後はWebサーバー機能を持つExchange Serverを対象にWebshellの作成等を継続的に監視

ここで注目すべきなのは、2-aで発見されたものの2-bの報告にはないサーバーを持つ組織が複数、実際にあったという点です。海外拠点など、管理の目の行き届かないところで使用されている、いわゆる「野良Exchange Server」の存在は、それを狙う今回のような脆弱性攻撃等の格好の標的となり、組織全体を危機に晒しかねない危険な存在となるため、特に注意が必要です。

ゼロデイ脆弱性に備えるためにMDRベンダーが持つべき「技量(スキル)」とは

今回のような影響度の高いゼロデイ脆弱性の対応に関して、MDRベンダーにどこまで頼るべきなのでしょう?あるいは、どういったスキルを持つMDRベンダーを選ぶべきなのでしょう?ゼロデイ脆弱性が見つかった際にMDRが提供するサービスにはいくつかのレベルが考えられます:

  1. ゼロデイ脆弱性の存在の告知(セキュリティニュースの提供)
  2. ゼロデイ脆弱性に関する説明、調査の提案
  3. 能動的にゼロデイ脆弱性調査を実施し、侵害の有無を確認

侵害がすでに発生している可能性の高いゼロデイ脆弱性については、3の実施が不可欠となります。脆弱性の発見からパッチ適応まで期間があったゼロデイ脆弱性の危険性についてはすでに述べました。パッチを当てることで脆弱性を塞ぐだけでは十分な対策ではない以上、調査(プロアクティブ・ハンティング)を積極的に実施してくれるMDRベンダーこそが信頼できるMDRベンダーであると言えます。

ハンティングスキルと脅威インテリジェンスの関係

プロアクティブ・ハンティングを可能にするのは、豊富な脅威インテリジェンスであると言えます。攻撃者およびその手法について、インシデント・レスポンスの現場や攻撃者追跡活動などを通じて、攻撃者やその手法(TTP)に関する多くの情報を集積しているだけでなく、その結果得られる標的傾向などの情報は、ハンティング活動に必要不可欠です。さらに、CPEなど影響度の高い脅威に関する情報を常に把握しておくことも求められます。そのためには、OSINTと呼ばれる、オープンソースな公開されている情報に基づく脅威インテリジェンスに限定せず、独自に収集した攻撃者の動機、目的、利用するツールなどの手法、傾向などの脅威インテリジェンスが求められます。

こういった情報は主にインシデント・レスポンスの現場で培われるものです。Mandiant は年間20万時間を超えるインシデント・レスポンス活動を通じて、被害者に関する情報、攻撃者に関する情報を幅広く収集し、当該被害者のみならず、他の被害を蒙りかねない組織に対しても積極的にプロアクティブ・ハンティングを行ったり、2020年末のSUNBURSTインシデント発生時のように、情報やツールの公開を行うことで、広くコミュニティを保護する活動を行っています。

今回のExchange Serverゼロデイ脆弱性をきっかけに、ゼロデイ脆弱性に対する対応や態勢、MDRベンダーのサービスレベルなどを見直してみてもいいかもしれません。