企業に潜み続ける APT:脆弱な IoT/OT デバイスが理想のターゲットになっている

How APTs Are Achieving Persistence Through IoT, OT, and Network Devices

2022/06/23 DarkReading — IoT 攻撃に関する大半のニュースが、ボットネットやクリプトマイニングといったマルウェアに焦点を当てている。しかし、APT グループ UNC3524 が用いる攻撃手法を見れば分かるように、この種のデバイスは、ターゲットのネットワーク内部から、より有害な攻撃を仕掛けるための理想的な標的になっている。Mandiant のレポートは、「 UNC3524 の手法は、ネットワーク/IoT/OT デバイスの安全性の低さを悪用し、ネットワーク内部で長期的にアクティビティ持続する巧妙なものだ」と述べている。この種の APT (Advanced Persistent Threat) スタイルの攻撃は、近い将来において増加する可能性が高く、そのリスクを理解する必要がある。

致命的な盲点

特定の用途のために開発された IoT/OT デバイスのなかで、ネットワークに接続されているが、エンドポイント・セキュリティ・ソフトウェアのインストールを許可しないものは、簡単に侵入され悪用される可能性がある。

つまり、これらのデバイスは、従来の IT デバイスほど綿密に監視されていないのである。DARKReadng の調査では、80%以上の組織が、ネットワーク内の大多数の IoT/OT デバイスを識別できてないことが分かった。また、それらの管理責任の所在についても、どのベンダー (IT/セキュリティ/ネットワーク/設備/物理セキュリティ/デバイスなど) が行うべきなのかという点で混乱が見られる。

その結果として、管理されていない多くのデバイスには深刻な脆弱性が存在し、ファームウェアの更新/ハードニング/証明書の検証も行われていないことが判明している。また、大企業に導入されている数百万台の IoT/OT/ネットワーク・デバイスを分析した結果、その 70% に CVSS スコア 8~10 の脆弱性が存在し、50% でデフォルトのパスワードが使用され、25% はサポートが終了していた。

IoT/OT/ネットワーク機器への侵入と持続性

このように脆弱なデバイスは、攻撃者の手に全て渡ってしまう。脆弱なネットワーク/IoT/OT デバイスは、エージェントベースのセキュリティ・ソフトウェアをサポートしていない。そのため、攻撃者たちは、悪意のツールをインストールし、アカウントを変更し、検出されることなく悪意のサービスを走らせることなどが可能になる。さらに言うなら、そこでは、脆弱性や認証情報が管理されず、ファームウェアも更新されないため、攻撃者たちは永続性を維持できる。

イニシャル・アクセスとセカンダリ攻撃

これらのデバイスは、セキュリティ面での可視性が低いため、被害者のネットワーク内でを移動し、より価値の高いターゲットにセカンダリ攻撃を仕掛けるための、理想的な環境になってしまう。

こうしたセカンダリ攻撃を行うために、攻撃者たちが最初に行うのは、フィッシングなどの従来からの手法による企業ネットワークへの侵入である。もしくは、VoIP/プリンター/監視カメラといった IoT デバイスや、ビルの入退室管理システムなどの OT システムをターゲットにした侵入もあり得る。これらのデバイスの大半は、デフォルトのパスワードを使用しているため、多くの場合、簡単に侵入できてしまう。

ネットワークに侵入した攻撃者たちは、横方向にステルス移動し、他の脆弱で管理されていない IoT/OT/ネットワーク・デバイスを探す。つまり、それらのデバイスへの侵入に成功した攻撃者たちは、侵害されたデバイスと遠隔地にある自身の環境との間に、通信トンネルを確立するだけで良いのである。UNC3524 の場合は、クライアントとサーバ の間に SSH トンネルを確立し、一般的な Linux/Android/BSD 亜種上で動作するようにコンパイルされている、特殊なバージョンの Dropbear を、それらのデバイスで上使用していた。

こうして、攻撃者は被害者のデバイスを遠隔操作し、その他の IoT/OT/ネットワーク・デバイスに加えて、IT/クラウド上の資産を狙うことができる。攻撃者は、検知を避けるために、API コール/デバイス管理プロトコルなど、通常想定されるネットワーク通信を使用すると思われる。

インシデント・レスポンス

ネットワーク/IoT/OTデバイスが、理想的なセカンダリ攻撃の標的になる理由は、インシデント・レスポンス対応にも存在する。高度な攻撃者が、IoT デバイスを狙う理由のひとつは、このモデルがインシデント対応と修復を著しく複雑化させているという点にある。

多くの企業ネットワークに存在する、何千もの脆弱な非管理型デバイスの中の、たった1台で侵害されているデバイスを探し出すことは困難だ。攻撃者のマルウェアやツールキットが企業の IT ネットワークから完全に排除され、コマンド&コントロールの中断/ソフトウェア・バージョンの更新/悪用された脆弱性の排除/個々のエンドポイントの物理的な交換などが実施されたとしても、攻撃者の存在を完全に消し去ることは非常に難しいのである。

企業のリスクを軽減するには

こうした攻撃を防ぐ唯一の方法は、IoT/OT/ネットワークの各デバイスを完全に可視化し、アクセスや管理を行うことである。

幸いなことに、デバイス・レベルのセキュリティは簡単に実現できる。新しい脆弱性は常に出現するが、これらのセキュリティ問題には、パスワード/クレデンシャル/ファームウェアの管理/基本的なデバイスのハードニングなどで対処することが可能である。とは言え、多数のデバイスを抱える企業では、手作業でセキュリティを確保することは困難であるため、企業は自動化ソリューションへの投資を検討すべきだ。

企業が取るべき最初のステップは、すべての目的別デバイスのインベントリーを作成し、脆弱性を特定することだ。次に、脆弱なパスワード/古いファームウェア/不要なサービス/期限切れの証明書/深刻なレベルの脆弱性などに関連するリスクを、大規模に修正する。そして最後に、これらのデバイスが確実に修正されるよう、環境変化を継続的に監視する必要がある。

これらは、従来の IT 資産に対して、企業が実施しているのと同じ基本的な対処法である。いまこそ、IoT/OT/ネットワーク機器に対して、同じレベルの注意を払うべき時なのである。

このところ、IoT/OT デバイスや、そこで利用されるネットワーク・デバイスからの侵入により、企業ネットワーク全体に被害が生じると、警鐘を鳴らす記事を目にするようになりました。6月1日の R4IoT キルチェーンという、PoC エクスプロイトを紹介する記事は、IT/IoT への侵入から OT 環境を最終ターゲットにするシナリオを証明するものです。脅威アクターたちが横方向への移動方法を確立してしまったことで、ネットワーク・セグメンテーションだけでは対処できない時代に突入したのかもしれません。

%d bloggers like this: