2023年には、ファイル転送サービスに起因する、何千もの企業およびその顧客に混乱をもたらしたサプライチェーン攻撃が3件も発生した。これらのツールはなぜ狙われるのだろうか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2023年5月に発生した「MOVEit Transfer」(以下、MOVEit)環境に対する一連の攻撃は(注1)、5カ月経過した現在でも下流の被害者に影響を及ぼしており、ファイル転送サービスに対する集中的な攻撃が最高潮に達している。
Progress SoftwareのMOVEit(注2)、Fortraの「GoAnywhere」(注3)、「IBM Aspera Faspex」(注4)は、2023年3月から3カ月間にわたってサプライチェーン攻撃を受けた。MOVEitとGoAnywhereのゼロデイ脆弱(ぜいじゃく)性を悪用したランサムウェアグループClopは、2020年と2021年に発生したファイル転送システム「Accellion」に対するゼロデイ攻撃にも関与していた(注5)。
調査企業であるForresterの主席アナリストを務めるジェス・バーン氏は「これらの管理型のファイル転送サービスは、データが転送されるため攻撃対象として好都合だ」と指摘する。バーン氏によるとこれらのサービスには、誰かの認証情報をフィッシングする以上の価値があるという。つまりサイバー攻撃者が恐喝や潜在的な企業スパイ活動に利用できる価値の高いデータが含まれているのだ。
「ファイル転送サービスが全ての責任を負うべきかどうかは分からないが、安全であるべきものを脆弱なままにしている設計プロセスには問題がある」(バーン氏)
こうした攻撃の直接的な被害者や間接的な被害者には、大手金融機関や教育サービスプロバイダー、政府機関、医療機関、保険企業、法律事務所などが含まれる。
NPO法人のR Street Instituteにおいてサイバーセキュリティと新たな脅威に関する業務を担当するシニアフェローのエイミー・チャン氏は「ファイル転送サービスは企業運営に不可欠なものであり、個人情報や財務情報、独自情報、知的情報などの企業の機密情報にアクセスする権限を付与されている」と話す。
これらのサービスが普及するにつれて、攻撃者が潜在的な攻撃の対象とする脆弱性の数も増加している。
サイバーセキュリティ事業を営むIntel 471によると、2018年以降、攻撃者が重大な関心を寄せるものとして、管理型のファイル転送製品に関する17件の脆弱性が記録された(注6)。2014年以降、管理型のファイル転送ソフトウェアに影響を与えた136件の脆弱性のうち、51件はNational Vulnerability Databaseによって高リスクに分類されている。
通信事業を営むDell'Oro Groupでエンタープライズ・ネットワーキングとセキュリティを担当するシニアディレクターのモーリシオ・サンチェス氏は「これらのツールは広く普及しており、機密情報をある場所から別の場所に移動させる際に、第三者機関が企業のデータを扱う期間が長くなる。そのため、危険にさらされたときのリスクが重大なものになる」と述べた。
「これらの企業に対して多くの暗黙の信頼が寄せられている。残念ながら、それが誤った安心感につながっている」ともサンチェス氏は話す。
管理型のファイル転送サービスは監視や自動化、強化されたセキュリティとともにファイル転送プロトコルの機能を備えており、政府および厳格に規制された業界のコンプライアンス要件を満たすために重要な役割を果たしている。
政府の請負業者であるMaximusは、MOVEit攻撃に関連して、これまでで最大の情報漏えいについて報告した(注7)。個人情報や社会保障番号、保護された医療情報、その他の機密情報を含むファイルが最大で1100万件も漏えいしたのだ。
「コンプライアンスに対する意識の高まりが、このような被害を生んだと言えるかもしれない。コンプライアンスは多くの組織でチェックの対象となっている。ランサムウェアの実行者は、厳格な規制が実行されると、問題が発生したときの影響も大きくなることを知っている。彼らはコンプライアンスへの準拠のために、機密情報の送信時にこれらのシステムが使われることも知っているのだ」(バーン氏)
MOVEitは、コンプライアンス要件を満たす管理型のファイル転送サービスのうちの一つだ。監査機関や政府の認定によって、これらのツールは大量の機密ファイルを共有する際に広く使用されている。
MOVEit環境に対するClopの攻撃は個人の医療情報や学校記録、米国最大の年金システム、政府請負業者と4大会計事務所のうちの3社が保有するデータを漏えいさせた。
サンチェス氏は「政府の認定には重みがある。社会として私たちは、政府機関や、多様な技術や産業に対して一定の基準を示す機関に信頼を寄せている。どのような認証もより速く、より複雑になる世界に追い付こうとしているだけだ。問題があるとすれば、どんな認定も完璧ではないという点だろう」と述べる。
管理型のファイル転送サービスが広く利用されるようになり、下流の被害組織とその顧客も、より大きな影響を受けるようになった。組織のサプライチェーンのどこかのベンダーが、上流の組織に対する攻撃によって漏えいした機密情報を転送した場合、下流の組織にも漏えいが発生する可能性がある。
「第三者機関は、データを4番目や5番目の当事者に渡しているだけだ。これらのデータはあなたのコントロールを離れており、管理または監視できるものではない」(バーン氏)
「その時点で、私たちの手から離れてしまうのだ」ともバーン氏は述べている。
多くの組織にとって非現実的な手段ではあるが、ファイル転送サービスに対する明白な代替策の一つは、その利用を制限するか、完全に停止することである。機密ファイル共有のためのセキュリティを強化する他の方法は手続き的なものなのだ。
専門家によると、組織は潜在的な攻撃対象となるサプライチェーンを常に監視し、データを暗号化した状態で保管する必要がある。
「基本的に、どのようなデータも公開されることを想定し、少なくとも追加の保護策を確保しよう」とサンチェス氏は述べた。
(注1)MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims(Cybersecurity Dive)
(注2)Progress Software says business impact ‘minimal’ from MOVEit attack spree(Cybersecurity Dive)
(注3)Clop ransomware group triggers new attack spree, hitting household brands(Cybersecurity Dive)
(注4)IBM file transfer service under active exploit, security researchers warn(Cybersecurity Dive)
(注5)Accellion breach victim lists grows as Kroger discloses compromise(Cybersecurity Dive)
(注6)Managed File Transfer Software: Assessing the Risks(INTEL471)
(注7)maximus(SEC)
© Industry Dive. All rights reserved.