特集:ジャガー・ランドローバー(JLR)は、英国の有名ブランドとして新たに大規模なサイバー攻撃の被害に遭った。同社が「深刻な混乱」と表現した事態を受けて、複数の拠点のITシステムが1週間以上オフラインとなっている。
8月31日、この攻撃により、同社のグローバルネットワーク全体の生産と販売店業務が停止し、ソリハル工場の操業停止に至った。英国の販売店は新車の登録や部品供給が不可能になった。今週初めの報道によると、同社の工場は早くても水曜日まで閉鎖が続くという。
3億8000万ドルの訴訟で、侵入者はただ尋ねるだけでコグニザントからクロロックス社のパスワードを入手したと主張
続きを読む
攻撃後、「Scattered Lapsus$ Hunters」と名乗るグループが犯行声明を出しました。このグループは、マークス&スペンサーのハッキング事件の背後にいると主張しているグループと同じです。10代の若者とみられるこのハッカーたちは、現在、ジャガー・ランドローバー(JLR)のITシステム内部から取得したと思われる情報のスクリーンショットを共有し、Telegramで同社を嘲笑し、自らの行動を自慢しています。
JLRのケースで特筆すべき点は、その対応の速さです。同社は分散した事業所全体のITシステムを迅速にシャットダウンしました。これは、攻撃者がシステムを横方向に移動してより広範囲に被害を拡大するのを防ぐためだったと考えられます。確かに混乱を招きましたが、実際の攻撃に直面した状況では、大胆かつ必要な判断だったと言えるでしょう。
製造業への攻撃は目新しいものではありません。2023年8月、米国の製造業者クロロックス社は情報漏洩に見舞われ、生産に支障をきたし、手作業での注文処理を余儀なくされました。原因はサードパーティのITサービスプロバイダーによる不正アクセスにまで遡ります。サードパーティのソフトウェアサプライヤーも標的となっています。また、ロシア政府が支援する「ミッドナイト・ブリザード」攻撃集団とのマイクロソフト社のトラブルは、たとえ見落とされたレガシーシステム1つでも、攻撃者が経営幹部の受信トレイやソースコードにまでアクセスできてしまう可能性があることを示しました。
教訓は明白だ。組織が試練を受けるかどうかではなく、いつ試練を受けるかが重要だ。では、英国中の企業はどうすればより万全な備えができるだろうか?
1. 迅速に行動する
JLRが迅速にシステムを隔離したことで、被害は限定的なものとなったと考えられます。多くの組織は業務の中断を恐れて躊躇しますが、この遅延は壊滅的な結果をもたらす可能性があります。企業は、攻撃発生時にシステムを隔離し、アクセスを無効化し、接続を遮断する権限を誰が持つかを事前に承認する必要があります。これらの決定は取締役会レベルで合意され、定期的にリハーサルを行う必要があります。
元NSAの悪者ハンターがScattered Spiderの偽ヘルプデスク通話を聴取「奴らは優秀だ」
続きを読む
2. テクノロジースタックを多様化する
多くの企業は、Microsoft 365、Azure、Active Directoryといったエコシステムに全面的に依存しています。これはシームレスな統合を実現する一方で、サプライチェーンリスクの増大やベンダーロックインといった脆弱性を生み出します。
単一文化はリスクを生み、ソフトウェアサプライチェーンにおける大規模なインシデントが頻発しています。攻撃者がレガシーテストアカウントなどのコンポーネントを侵害すると、Microsoftの深い相互接続性により、攻撃者は横方向に移動し、他の重要なシステムへのアクセスが可能になります。これは、Microsoft自身に対する「Midnight Blizzard」攻撃に見られる通りです。
さらに、企業は、ライセンスの制約や法外な切り替えコストのために、特定のベンダーに固執せざるを得ない状況にあってはなりません。このベンダーロックインの問題は深刻であり、規制当局による厳格な監視を招いていますが、競争・市場庁(CMA)は、企業が懲罰的な撤退コストを負うことなく多角化できるよう、その執行をさらに強化する必要があります。
3. Active Directory のセキュリティ保護
攻撃者は多くの場合、Microsoft 365 の Active Directory などの ID システムを標的にします。Marks & Spencer の侵害には、基本的にすべてのパスワードのマスター キーである Active Directory データベースの盗難が関与していたと報告されています。
マイクロソフトの侵害は、忘れ去られたシステムに対する単純な「パスワードスプレー」攻撃から始まりました。ハッカーたちは、フィッシング耐性のある多要素認証(MFA)で保護されていないレガシーテストアカウントを悪用しました。これは根本的な欠陥を浮き彫りにしています。企業は、脆弱なレガシー認証方法を排除し、FIDO2キーなどのフィッシング耐性のあるログインを全ユーザーに導入する必要があります。また、異常なログイン試行に対する強力な監視も実装する必要があります。マイクロソフトのインシデントは、攻撃者がどんなに小さく、一見重要でないように見えても、最も弱い部分を見つけて悪用することを浮き彫りにしています。
4. 誰がアクセスできるかを把握する
新たな攻撃の領域は、接続されたアプリに与えられた信頼を悪用することで、ユーザーを完全に迂回します。これはSalesloft/Driftのインシデントで確認されました。あるアプリケーションから別のアプリケーションへのアクセスを許可するOAuthトークンは、パスワードのように扱う必要があります。スコープを厳密に設定し、頻繁にローテーションし、不審なアクティビティを監視する必要があります。企業は、どのアプリが自社データにアクセスでき、なぜそのアクセスが必要なのかを把握する必要があります。
- あなたはコージーベアと言いますが、私はミッドナイトブリザード、ブードゥーベア、APT29と言います…
- CVEの影響: 標準脆弱性追跡システムの分裂が始まった
- ああ、すごい。悪名高いサイバー犯罪組織3つが協力しているようだ
- 英国の小売業者を攻撃していたサイバー犯罪者が今度は米国の店舗に目を向けている
5. ゼロトラストモデル
ゼロトラストモデルの導入も、企業が目指すべき方向性です。その核となる考え方は、ユーザー、デバイス、システムをデフォルトで信頼するのではなく、アイデンティティ、ポスチャ、コンテキストが検証された場合にのみアクセスを許可するというものです。数十年前のレガシーシステムを抱える老舗企業にとって、これは大きな取り組みとなりますが、必要不可欠なものです。
最終的な結論
JLRがシステムを隔離するという迅速な決断をしたことで、深刻な被害から救われたと期待されます。この決断力は他の組織の模範となるはずです。しかし、封じ込めだけでは不十分です。
マイクロソフトの「ミッドナイトブリザード」攻撃は、パッチ未適用の脆弱性や保護されていないレガシーシステムが、いかにして広範囲かつ深刻な被害をもたらす侵害につながるかを示す強力なケーススタディです。企業がアイデンティティシステムを強化し、統合をロックダウンし、ベンダーロックインを回避するためにテクノロジープロバイダーの選択肢を確保しない限り、このようなサイバー攻撃は今後も発生し続けるでしょう。
攻撃者には忍耐が必要。防御者には緊急性が必要。®
ビル・マクラッジ氏は、テクノロジーアドバイザー兼上級幹部です。2013年からアイルランド政府初代最高情報責任者(CIO)を務め、それ以前は英国政府副CIO、英国内閣府IT政策・戦略担当エグゼクティブディレクター、北アイルランドの電子政府担当ディレクター兼CIO、英国およびアイルランドにおけるEMC(Dell EMC)システムズのCTOなどを歴任しました。
