サプライチェーン攻撃に利用されないために

2018年3月30日

「うちは大企業ではないから、攻撃者の関心を引かないだろう」。こうした意見は異口同音に聞かれます。しかし、どれだけ広まっている言説だとしても、これは誤解です。ここでご紹介するのは、APT攻撃者がサプライチェーン攻撃で小さな企業を利用した事例です。

3月初旬に開催されたSecurity Analyst Summitで、セキュリティ業界の同業者であるAVASTがPiriformの事例を発表しました。Piriformは同社が昨年買収した英国の小さな企業で、不要と思われるファイルやWindowsの無効なレジストリエントリを削除するソフトウェア「CCleaner」のサプライヤーとして知られています。事実、最も古くからあるシステムクリーナーの1つで、ダウンロード回数は20億回を超えます。だからこそ、APT攻撃者は同ソフトウェアをスパイウェアの拡散手段に選んだのでしょう。

CCleanerによる攻撃

攻撃者はまず、Piriformの開発サーバーに感染することでコンパイル環境に侵入しました。ソースコードへの感染はありませんでしたが、コンパイルされたビルドにマルウェアが混入され、これが後に攻撃に利用されます。それだけでなく、コンパイラライブラリを改竄し、マルウェアがPiriformの正規のデジタル署名を利用できるようにしました。影響を受けたのは、CCleaner 5.33.6162とCCleaner Cloud 1.7.0.3191です。

攻撃の仕組みはかなり複雑で、少なくとも3段階で構成されていました。約1億のアクティブユーザーを抱えるソフトウェアに忍び込んだマルウェアは、1か月にわたり配信されました。その間、感染したプログラムをダウンロードしたのはおよそ227万人。少なくとも165万のマルウェアが攻撃者のサーバーと通信を試みました。後に判明したことですが、攻撃者の指令サーバーには第2段階の標的を決めるためのシンプルなスクリプトが入っていました。感染者のドメインを確認し、大手IT企業やITサプライヤーの社員を選定する、というスクリプトです。こうして選び出された40台のコンピューターに、次のマルウェアが送り込まれました。

第2段階の目的も、第1段階と同じように、標的を絞り込むことにありました。40台のコンピューターから情報を収集して分析し、最も関心のある標的を選んだと見られます。この段階で、攻撃者は対象を4人に絞り込みました。

この4人に対しては、カスタマイズされたShadowPad(英語)が送り込まれました。Shadowpadは、中国語話者の攻撃者によって使われていた、よく知られたマルウェアです。大手企業の特定の社員にバックドアを配信すること、これがこの攻撃の真の目的でした。

取り得る対策

この事例から得られる主な教訓は、記事の冒頭ですでに述べました。APTが実際に関心を寄せる標的でなくても、デリバリーチェーンの一環として利用される可能性があるのです。自社ソフトウェアのダウンロード回数が何十億を数えるようなら、なおさらです。ビジネスへの被害を最小限に抑えるには、標的型攻撃から全方位で守るための戦略が必要です。攻撃の検知および対抗策、脆弱性の排除、発生しうるリスクの予測に至るまで、幅広い対応が求められます。ときに外部の専門家の支援を受けるのも賢明な策の1つでしょう。

安全を保つ鍵となるのは、Threat Hunting(脅威ハンティング)です。高度な標的型攻撃は、ひそかにマルウェアを忍び込ませ、長い間発見されずに留まることが可能です(この事例では、Piriformは1か月以上もの間、意図せずマルウェアを拡散していました)。こうした攻撃を防ぐには、経験豊かな脅威ハンターが必要です。当社のKaspersky Threat Huntingは、お客様のネットワーク内に潜むサイバー犯罪者やサイバースパイの活動を特定し、こうしたインシデントの原因や発生元を探るのを、当社のエキスパートが支援するサービスです。また、将来的に同様の攻撃を受けないようにするための対策をご提案するほか、24時間体制でサイバー脅威データの監視および常時分析を実施するKaspersky Managed Protectionもご用意しています。

Kaspersky Threat Huntingサービスについては、こちらのページをご覧ください。