パッチリリースに先んじた攻撃 CISAはどのように侵入を許したか？：Cybersecurity Dive

CISAを標的にしたサイバー攻撃によって化学施設のデータが盗まれた可能性があることが判明した。攻撃者はどのようにシステムに侵入したのか。

[Matt Kapko，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2024年6月24日（現地時間、以下同）の通知で「私たちのシステムを標的とした同年1月の攻撃により、化学施設のデータが盗まれた可能性がある」と述べた（注1）。CISAは、10万人以上が所属する同施設に潜在的な被害がある旨を伝えた。

パッチリリースに先んじた攻撃　CISAはどのように侵入を許したか？

　正体不明の攻撃者が2024年1月23〜26日にかけて、化学物質の安全性を評価するCISAのツールに侵入したが、データの盗難や横方向の移動の証拠は見つからなかったという。

　CISAの広報担当者は、電子メールで次のように述べた。

　「CISAの調査ではデータ流出の証拠は見つからなかったが、今回の侵害により、トップ画面調査や脆弱（ぜいじゃく）性評価、サイトセキュリティ計画、人員保証プログラム提出、CSATのユーザーアカウントなどに対する不正アクセスが行われた可能性がある」

　この侵入は、攻撃時にCISAが使用していたIvantiのリモートアクセスVPNのゼロデイ脆弱性に関連していた（注2）。攻撃者は「CVE-2023-46805」および「CVE-2024-21887」という2つの脆弱性を2023年12月から悪用し始め（注3）（注4）、Ivantiは2024年1月31日にこれらの脆弱性に対処するためのセキュリティパッチをリリースした（注5）。

　CISAにとって、この修正は遅過ぎた。CISAのスキャンシステムは2024年1月26日に悪質な活動を特定した。その後の調査でCISAは、今回悪用された「CSAT Ivanti Connect Secure」のデバイスに、同年1月23日の時点で高度なWebシェルが既にインストールされていたことを突き止めた。

　CISAは、2024年6月24日の通知で次のように述べている。

　「このタイプのWebシェルは、悪質なコマンドを実行したり、基礎となるシステムにファイルを書き込んだりするために使用される。私たちの分析では、攻撃者が2日間にわたってWebシェルに何度もアクセスしていることが確認された」

　CISAは影響を受けたIvanti製品を使用しておらず、攻撃者がWebシェルにアクセスした際にどのような行動を取ったかについてはコメントを控えた。

　CISAのケリー・マレー氏（アソシエイトディレクター）は、2024年6月24日に開催されたウェビナーで次のように述べた。

　「私たちは、攻撃を受けたIvantiのデバイスと機密データの間に複数の防御層を構築し、それぞれを分離させていたが、不正アクセスが成立した可能性を完全に否定できない」

　CISAは、2002年の連邦情報セキュリティ管理法に基づいて影響を受ける可能性のある全ての組織に通知を送った（注6）。同法では、少なくとも10万人の個人を識別できる情報への不正アクセスを伴う重大なインシデントが起こった場合に、通知を送る旨が定められている。

　「データが危険にさらされ、アクセスが許可された可能性を完全に否定できない場合、私たちはこれらの通知を行う義務がある」（マレー氏）

　2023年7月、化学施設におけるテロ対策の基準プログラムの再認可を議会が拒否した際、CISAは業界によるCSATシステムへのアクセスをブロックした。2024年1月に侵入が発覚した際、システムは完全にオフラインにされ、プログラムが再認可されるまでオフラインの状態を維持した。

（注1）Chemical Security Assessment Tool (CSAT) Ivanti Notification（CISA）
（注2）CISA attacked in Ivanti vulnerabilities exploit rush（Cybersecurity Dive）
（注3）CVE-2023-46805 Detail（NIST）
（注4）CVE-2024-21887 Detail（NIST）
（注5）Delayed Ivanti patch arrives after weeks of exploitation（Cybersecurity Dive）
（注6）Chemical Security Assessment Tool (CSAT) Ivanti Notification Letters（CISA）

原文へのリンク