Shadowserver インタビュー：その立ち位置と脅威／防御に対する認識を説明しよう

How the Shadowserver Foundation helps network defenders with free intelligence feeds

2024/12/05 HelpNetSecurity — Shadowserver Foundation の CEO である Piotr Kijewski が、Help Net Security のインタビューで語ったのは、脆弱性／悪意の活動／新たな脅威を明らかにすることで、インターネット・セキュリティを強化するという、同組織の使命に関する事柄である。Kijewski が説明してくれたのは、サイバー犯罪を追跡／阻止するための自動化された取り組みの詳細であり、また、法執行機関への支援と、開発サービスのグローバルな展開の内容である。

Shadowserver Foundation の使命とインターネットのセキュリティ確保のためのアプローチは？

Shadowserver Foundation の使命は、脆弱性／悪意の活動／新たな脅威を明らかにすることで、インターネットのセキュリティを強化することである。私たちは、世界中の CSIRT とネットワーク防御者に対して、早期警告／脅威と脆弱性のインテリジェンス・フィード／被害者通知サービスを、無料で提供している。

この実用的なインテリジェンスの提供により、世界中の CSIRT とネットワーク防御者に対して、ネットワークや構成員を保護するために必要な情報を提供できる。当社がサービスを提供する対象としては、175 の国々と、さまざまな地域をカバーする 201 の National CSIRT と、8,000 を超える組織がある。インターネットで活動している組織であれば、当社からデイリーで提供される、無料の通知サービスに登録できる。

当社は 30人足らずの小規模な組織であるため、大規模な自動化によってのみ、上記のグローバル・サービスを実現できる。当社が収集する大規模なセキュリティ関連のイベントは、マルウェア／ボットネットのシンクホールや、露出／脆弱／侵害された資産のスキャン、露出された資産に対する最新の攻撃を観察するハニーポット・センサー、サンドボックス内での最新マルウェアの大規模な分析を通じて整理されている。

当社では、１日あたり約 1,000,000,000 件のサイバー・イベントを、コミュニティとの協力関係により、責任を持って無償で共有している。

Shadowserver は、法執行機関によるサイバー犯罪阻止活動に対しても、無料の技術サポートを提供している。さらに、サイバー犯罪に対する多くの重要な活動において、法執行機関や業界パートナーを技術的能力／調査支援／被害者通知チャネルでサポートするという、舞台裏でも重要な役割を果たしている。

当社では、脅威検出／サイバー脅威インテリジェンス／インシデント対応の分野において、世界に対してサイバー・セキュリティ能力構築サービスを提供している。通常では、英国外務／英連邦／開発省 (FCDO) などの助成金を通じて資金を調達している。したがって、その資金力により、ネットワークの世界的な保護が可能となり、それらのネットワークが他者への攻撃のプロキシとして悪用される心配もなくなる。

Shadowserver が追跡するマルウェアとボットネットにおける最も重要な変化は何処に？

脅威アクターたちの変化として挙げられるのは、感染させた Windows コンピューターによる巨大ボットネットを構築や、バンキング型トロイの木馬とマネーミュールによる電信送金からの窃取の減少がある。現時点において、ボットネットの規模は小型化し、価値の高いターゲットへのアクセスに重点を置く傾向がある。

今日におけるイニシャル・アクセス・ブローカーは、公開サービスに対するエクスプロイトを開発し、企業ネットワークにアクセスしている。その後に、Ransomware-as-a-Service のアフィリエイトは、さまざまなランサムウェア・ファミリを展開して、被害者のデータを暗号化し、また、パブリックなデータ漏洩サイトに公開すると脅し、暗号通貨による支払いを強要している。

身代金を支払った被害者は、それらのデータ漏洩サイトには表示されないため、問題の本当の規模を測定することは困難である。人気ベンダーの VPN エンドポイントなどのエッジ デバイスは、最も標的となるデバイスの一部になっている。

IoT デバイスで構成されたボットネットには、攻撃者の実際の場所を隠すためのプロキシ・ネットワークとして使用される場合がある。この事例としてあげられるのは、5 月に FBI／DoJ と共同でシンクホールした、巨大な 911 住宅型のプロキシ・ボットネットなどがある。また、スパイ活動や国家活動の起源を隠すための ORB (Operational Relay Boxes) として使用される場合もある。こちらの事例としてあげられるのは、1 月に FBI／DoJ と共同でシンクホールした、Ubiquity ルーターの Moobot ボットネットなどがある。

暗号通貨マイナーについて言うと、新たに発表される脆弱性の多くを悪用するという点で、最前線に留まっている。Bitcoin などの暗号通貨の価格が、最近でも急騰していることを考えると、この状況は変わりそうにない。バックドア付きアプリやサイドローディングを介して配信される、PUP (Potentially Unwanted Programs) は、Apple や Android などのプラットフォームにおいて、継続した問題となっている。この事例としては、Shadowserver がシンクホール化した Adload などがある。

ユーロポールの 5 月の Operation Endgame には Shadowserver も参加しており、IcedID／SystemBC／Pikabot／Smokeloader／Bumblebee など、主要なマルウェア ・ローダー・ファミリの多くを混乱させることに成功した。それらのローダーには、復活したものと、復活していないものがある。マルウェアに感染した被害者から、認証情報を収集する情報窃取型マルウェアは、サイバー犯罪エコシステムの主な推進力の１つである。

AI に関する業界は熱狂しているが、マルウェアやボットネットの領域で、いまのところ大きな影響は見られない。

大規模なボットネット感染に対処する際に、報告の正確性と適時性をどのように確保しているか？

前述のとおり、私たちの活動の大半は、高度に自動化されており、そこには通知プロセスも含まれる。したがって、データセット内の誤検知を最小限に抑えるよう、常に努める必要がある。そうしないと、私たちからのデイリー情報を受け取る、何千もの組織にとって不要なアラートが殺到することになる。それと同時に、適時性とのバランスを取る必要もある。つまり、可能な限り早急に、有益な関連情報をインターネット防御者の手に届ける必要がある。新しいデータ共有活動を有効にするときは、この２つの事項を考慮する必要がある。

私たちは、収集するデータの種類に応じて、さまざまなアプローチを採用している。ただし、上記の誤検知の懸念があるため、通常は保守的なアプローチをとっている。新しいインターネット全体のスキャンを開発する場合に、最初にスキャン方法を徹底的にテストするのが常でありし、正確性を確認してから実稼働環境へと展開している。私たちが注意する点は、技術的な活動を最小限に抑え、法的な境界を越えないことである。

シンクホールにより破壊されたマルウェアやボットネットのケースでは、脅威アクターの技術インフラとボットネットの C2 通信を完全に理解するために、通常よりも長期間の作業を要する。つまり、標的である C2 プロトコルを正しく話すシンクホールの確立が必要であり、それによりノイズのフィルタリングを容易にしていく。

情報共有アプローチと脅威への対応は、どのように進化してきたか？

攻撃に使用される技術的な方法の変化とは別に、攻撃用いられる配信が大幅に加速し、すべてが以前よりも遥かに速く引き起こされている。製品の脆弱性の公開や、エクスプロイト・コードの公開の数時間後であっても、攻撃者による広範囲での悪用が多発している。私たちは、それに適応するために、以前よりも積極的に早期警告の発表に取り組んでいる。それにより、脅威インテリジェンスを取り込むために、インターネット防御者が使用する、システムとデータの自動的な統合を容易にしていく。

また、同じ考えを持つ組織間のコミュニティである Shadowserver Alliance を構築し、より緊密に連携してリアルタイムで相互通信し、脅威に対応するための追加のインテリジェンスを共有し始めている。また、法執行機関専用のマルウェア情報共有プラットフォームである、 MISP-LEA の構築にも取り組んでいる。このプロジェクトは、EU が資金を提供するものであり、また、MISP (Malware Information Sharing Platform) を開発しているルクセンブルク国立 CSIRT CIRCL と共同で実施されるものである。この MISP-LEA プラットフォームでは、対象となるコミュニティにとって、特に有用と思われる情報をフィードしている。

認識／対応／取組の改善が必要だと感じる領域は？

全般的に見て、コミュニティとしての実用的な情報の共有は改善されているが、攻撃者には遅れをとっており、十分に対応できているとは言えない。かつてないほど、攻撃は素早く行われている。政府／民間／ベンダー／被害者の間での連携は、まだ十分ではない。現状における共有について、よく話す事例に、障壁を設けてインシデント対応の効果を低下させ、遅延を引き起こすというケースがある。さまざまな業界が、依然としてサイロ化している。献身的でやる気があり、有能で機敏で、国境や資金の制限に縛られない脅威アクターには、そのような問題はない！

サイバーの世界における攻撃や犯罪が報告されるとき、多くの場合において、認識の問題が存在しており、ほとんどの攻撃は “高度” または “技術的に洗練されている” と説明されている。被害者の思い込みとして、攻撃者に意図的に狙われたと信じがちになるが、ほとんどのケースにおいて、インターネット全体のスキャンで特定され、脆弱であることが判明して侵害されている。それぞれの組織が、インターネットに公開しているデバイスを理解し、迅速かつ効率的なソフトウェア・パッチを適用するだけで、多くのインシデントを防ぐことが可能だ。

また、修復におけるロングテールも見かけられる。最大手の１％を除いたところの、多くの組織においては、依然としてリソース／資金が不足しており、侵入に対する適切な対処や、脆弱なサービスへのパッチ適用の方法が浸透していないようだ。つまり、この問題が解決されるまで、攻撃者が優位に立つことになる。Shadowserver の無料ネットワークレポートは、タイムリーかつ実用的であり、自社のサイバー脅威インテリジェンスのベースラインを構成したいと考える、潤沢な予算を持たない組織にとっても有用である。

時おり、Help Net Security がポストしてくれるインタビュー・シリーズは、なかなかイイ感じですね。それなりにボリュームがあり、訳すのも大変ですが、自分が読みたくて訳してしまうことが多いです。脆弱性情報が溢れているときは、なかなか手が出せませんが、このところ、落ち着き気味だったので、そのための時間がとれました。2024/11/20 の「OSS のセキュリティ神話を検証：解かれるべき誤解とエンタープライズでの採用について」も、同じく Help Net Security のインタビューです。よろしければ、Shadowserver で検索と併せて、ご参照ください。