最近、中国のSalt Typhoonグループによるとされる通信会社や国々への攻撃が、ブラジルを含む世界中を警戒させている。 ニュースは侵入の洗練度について語っており、より深刻なのは、犯罪者が理論上まだこれらの企業のネットワーク内にいるとされていることです。
このグループに関する最初の情報は2021年に出てきました。マイクロソフトの脅威インテリジェンスチームが、中国が複数のインターネットサービスプロバイダーに巧みに潜入し、企業を監視し、データを捕捉していた方法について情報を公開したときです。 グループによる最初の攻撃の一つは、これらのデバイスを通じて発生するインターネット活動を監視するゲートウェイとして機能していたCiscoルーターの侵害から始まりました。 アクセスが得られると、ハッカーは追加のネットワークに範囲を拡大することができました。 2021年10月、カスペルスキーは、サイバー犯罪者がベトナム、インドネシア、タイ、マレーシア、エジプト、エチオピア、アフガニスタンなどの他の国々への攻撃を拡大していることを確認しました。
最初の脆弱性はすでに2021年から知られていたのに、なぜ私たちはまだ攻撃を受けたのですか? 答えは、まさに私たちが日常生活の中でこれらの脆弱性にどう対処するかにあります。
強姦の方法
最近数日、アメリカ政府の情報によると、「企業や国」に対する一連の攻撃が確認されました。これらは、VPNアプリケーションの既知の脆弱性を利用したもので、Ivanti社製のFortinet Forticlient EMS、サーバー監視に使用されるファイアウォールのSophos、そしてMicrosoft Exchangeサーバーに対して行われました。
マイクロソフトの脆弱性は2021年に公開され、その直後に同社が修正を発表しました。 Sophosファイアウォールの脆弱性は2022年に公開され、2023年9月に修正されました。 Forticlientで見つかった問題は2023年に公になり、2024年3月に修正されました。同様に、Ivantiの問題も2023年にCVEs(共通脆弱性と曝露)が登録されています。 しかし、その企業は昨年10月にのみ脆弱性を修正しました。
これらのすべての脆弱性により、犯罪者は正当な資格情報やソフトウェアを使用して攻撃されたネットワークに簡単に侵入できるようになり、これらの侵入を検出することはほぼ不可能になっています。 そこから、犯罪者たちはこれらのネットワーク内を横方向に移動し、長期的なスパイ活動に役立つマルウェアを展開しました。
最近の攻撃で懸念されるのは、Salt Typhoonグループのハッカーが使用した手法が、以前の中国国家関係者に帰属されるキャンペーンで観察された長期的な戦術と一致していることです。 これらの方法には、正当な資格情報を使用して悪意のある活動を通常の操作に偽装し、従来のセキュリティシステムによる識別を困難にすることが含まれます。 VPNやファイアウォールなどの広く使用されているソフトウェアに焦点を当てることは、企業や政府の環境における脆弱性について深い知識を持っていることを示しています。
脆弱性の問題
脆弱性の悪用は、パッチやアップデートの適用遅延という懸念すべきパターンも明らかにしています。 メーカーが提供する修正にもかかわらず、多くの企業の運用実態はこれらのソリューションの即時導入を困難にしています。 互換性テスト、ミッションクリティカルなシステムの中断を避ける必要性、そして場合によっては障害の重大さに対する認識不足が、露出期間の拡大に寄与しています。
この問題は技術的な問題であるだけでなく、プロセス、優先順位、そして多くの場合、企業文化に関係する組織的かつ戦略的な問題でもあります。
重要な点は、多くの企業がパッチ適用を運用の継続性に比べて「二次的」な作業と見なしていることです。 これがいわゆるダウンタイムのジレンマを生み出し、リーダーはシステムの更新のために一時的にサービスを中断するか、将来的な潜在的な脆弱性のリスクを取るかを決定しなければならない。 しかし、最近の攻撃は、これらの更新を遅らせることが、財政的にも評判的にもはるかに高くつく可能性があることを示しています。
さらに、互換性テストは一般的なボトルネックです。 多くの企業環境、特に通信業界などでは、レガシー技術と最新技術の複雑な組み合わせで運営されています。 これにより、各アップデートには依存システムに問題を引き起こさないようにするためのかなりの努力が必要となる。 この種の注意は理解できますが、より堅牢なテスト環境や自動化された検証プロセスの採用などの方法で軽減することができます。
パッチ適用の遅れに寄与するもう一つの要因は、脆弱性の深刻さに対する認識不足です。 多くの場合、ITチームは特定のCVEの重要性を過小評価しがちであり、特にそれまで広く悪用されていなかった場合にはなおさらです。 問題は、攻撃者のための機会の窓が、組織が問題の深刻さに気付く前に開く可能性があることです。 これは、脅威のインテリジェンスとテクノロジー提供者と企業間の明確なコミュニケーションが大きな違いを生むことができる分野です。
最後に、企業は脆弱性管理においてより積極的で優先順位をつけたアプローチを採用する必要があります。これには、パッチ適用プロセスの自動化、ネットワークのセグメント化、潜在的な侵入の影響を限定すること、定期的に攻撃を模擬するルーチンの実施が含まれ、これにより潜在的な「弱点」を見つけるのに役立ちます。
パッチやアップデートの遅延の問題は、単なる技術的な課題だけでなく、組織がセキュリティのアプローチを変革し、より機敏で適応性があり回復力のあるものにするための機会でもあります。 何よりもまず、この運用方法は新しいものではなく、同じ方法で何百もの他の攻撃が行われています操作方法、入口として利用される脆弱性から始まる。 この教訓を活かすことは、被害者であるか次の攻撃に備えるかの決定的な違いになるかもしれません。
