2011年のRSA hackの記事。10年間の守秘義務機関が終わって、関係者が当時のことを話し始めたという内容。ぼやっと、記憶していた内容が、よく書かれている。
The Full Story of the Stunning RSA Hack Can Finally Be Told In 2011, Chinese spies stole the crown jewels of cybersecurity—stripping protections from firms and government agencies worldwide. Here’s how it happened. BACKCHANNELMAY 20, 2021 6:00 AM www.wired.com
RSAハッキングの全貌が明らかに 2011年、中国のスパイがサイバーセキュリティの至宝を盗み出し、世界中の企業や政府機関から保護を奪った。その経緯は以下の通りです。
2011年初頭、Todd Leetham氏は眠れぬ時間を費やして自社ネットワーク内の幽霊を追いかけましたが、その後、彼が最も鮮明に覚えているのは、幽霊に追いついた瞬間です。いや、追いつきそうだった。
彼が勤めていた大手セキュリティ企業RSAのコンピュータ・システムを荒らし回っていたハッカーたちを初めて追跡し始めてから3日後、いや4日後かもしれない、ある春の日の夕方だったと彼は言う。リーサムは、ハゲでヒゲを生やし、気難しいアナリストで、ある同僚は私に「炭素ベースのハッカー発見マシン」と表現した。リーサムは、同社の他のインシデント対応チームとともに、ガラス張りのオペレーションセンターの周りに集結し、24時間休みなく追跡していた。シード」とは、RSA社が世界中の政府機関、軍事機関、防衛関連企業、銀行など数千万人のユーザーに対して約束しているセキュリティの基礎となる数字の集合体である。
RSA社は、これらのシードを「シードウェアハウス」と呼ばれる、厳重に保護された1台のサーバーに保管していました。このシードは、RSAの主力製品の1つである「SecurIDトークン」の重要な構成要素となっている。SecurIDトークンとは、ポケットに入れて持ち歩き、常に更新される6桁のコードを画面に入力することで本人であることを証明する小型の携帯端末のことです。もし誰かが倉庫に保管されているシード値を盗むことができれば、SecurIDトークンを複製して、二要素認証を無言で破ることができるかもしれません。
今、画面に表示されたネットワークログを見ると、RSAの王国への鍵はすでに盗まれているように見えた。
ハッカーは9時間かけて倉庫のサーバーからシードを抜き取り、ファイル転送プロトコルによってクラウドホスティングプロバイダーのRackspaceがホストするハッキングされたサーバーに送っているのをリーサムは落胆して見ていました。しかし、その時彼はあるものを発見し、希望が見えてきました。ログには、ハッキングされたサーバーのユーザー名とパスワードが含まれていたのです。そのログには、ハッキングされたサーバーのユーザー名とパスワードが含まれていたのだ。リーサムは遠く離れたラックスペースのマシンに接続し、盗まれた認証情報を入力しました。すると、そこにあったのです。サーバーのディレクトリには、盗まれたシードコレクションが圧縮された.rarファイルとして残っていたのです。
ハッキングした認証情報を使って他社のサーバーにログインし、そこに保存されているデータに手を加えることは、よく言えば常識外れ、悪く言えば米国のハッキング法違反であるとリーサムは認めています。しかし、RackspaceのサーバーにあるRSAの盗まれた秘蔵のデータを見て、彼は躊躇しなかったのです。「と彼は言います。「いずれにせよ、私は私たちのものを保存しているのです。彼はファイルを削除するコマンドを入力し、エンターキーを押しました。
しばらくして、彼のコンピュータのコマンドラインから返事が返ってきた。"ファイルが見つかりません" 彼は再びラックスペースのサーバーの中身を確認した。空っぽだったのだ。リーサムの心臓は床に落ちました。ハッカーは、彼が削除する数秒前に、サーバからシードデータベースを取り出していたのです。
昼夜を問わずデータ泥棒を追いかけ、「ドアから走り去る時に上着を一枚取った」と彼は言う。そして、その指の間をすり抜けて、会社の大切な情報とともにエーテルに逃げ込んだのである。そして、リーサムはまだ知らなかったが、その秘密は今や中国軍の手に渡ってしまったのだ。
RSAの不正アクセスは、その数日後に公開され、サイバーセキュリティの展望を再定義することになりました。同社の悪夢は、情報セキュリティ業界に警鐘を鳴らしただけでなく、サイバーセキュリティ企業に対する史上最悪のハッキング事件として、世界中に警告を発したのである。セキュリティ企業F-Secureの研究者であるティモ・ヒルボネン氏は、今回のハッキングについて、国家に支援された新しいタイプのハッカーがもたらす脅威が増大していることを示す不穏な兆候であると見ています。「RSAのようなセキュリティ企業が自分たちを守ることができないのなら、世界の他の国々はどうしたらいいのだろう?
この疑問は、まさに文字通りの意味を持っていた。RSA社のシードバリューが盗まれたということは、何千もの顧客のネットワークから重要な安全策が取り除かれたことを意味する。RSAのSecurIDトークンは、銀行から国防総省に至るまで、従業員や顧客にユーザー名とパスワード以外の認証方法を要求できるように設計されています。SecurIDトークンに表示されたコード(通常60秒ごとに変更される)を入力することで、初めてアカウントにアクセスすることができる。
RSAが作成し、顧客に慎重に配布したSecurIDシードにより、顧客のネットワーク管理者は、同じコードを生成できるサーバーを設置し、ユーザーがログインプロンプトに入力したコードが正しいかどうかをチェックできるようになりました。そして今、その種を盗んだ巧妙なサイバー犯罪者は、物理的なトークンなしにコードを生成する鍵を持っており、ユーザー名やパスワードが推測可能なアカウント、すでに盗まれているアカウント、あるいは他の不正アクセスしたアカウントから再利用されたアカウントへの道を開いてしまったのです。RSA社は、インターネット上の何百万ものドアに独自の南京錠を追加しており、ハッカーはそのすべてのドアの組み合わせを知っている可能性があるのです。
この12月、SolarWinds社がロシアのスパイにハッキングされたことが明らかになり、世界は「サプライチェーン攻撃」という概念に目覚めました。これは、敵対者が標的の上流に位置するソフトウェアやハードウェアのサプライヤーの脆弱性ポイントを侵害する手法で、被害者がサイバーセキュリティリスクの観点から盲点となる、見えないところにあるものです。ソーラーウインズをハッキングしたクレムリンの工作員は、世界で18,000もの企業や機関が使用している「Orion」というIT管理ツールにスパイコードを隠蔽していました。
SolarWindsのサプライチェーン侵害を利用して、ロシアの対外情報機関であるSVRは、国務省、米国財務省、司法省、NASAなど、少なくとも9つの米国連邦機関に深く侵入しています。その数年前にも、ロシアの軍事情報機関であるGRUが、ウクライナの会計ソフトを乗っ取り、NotPetyaというデータを破壊するワームを送り込み、100億ドルの被害を出した史上最悪のサイバー攻撃があり、世界を震撼させたことがあります。
しかし、記憶に新しいところでは、RSAの不正アクセスは、大規模なサプライチェーン攻撃の元祖といえるでしょう。後に中国人民解放軍の手先であることが明らかになった国家的なサイバースパイが、インターネットを保護するために世界中で信頼されているインフラに侵入したのです。そうすることで、世界中のデジタル・セキュリティ・モデルの根底から覆されたのです。「エフセキュアのチーフ・リサーチ・オフィサーであるミッコ・ヒッポネン氏は、RSAの不正アクセスに関する分析でヒルボネン氏と一緒に仕事をしました。「ターゲットに侵入できない場合は、代わりにターゲットが使用している技術を見つけ、そこに侵入するという事実が、私の世界観を変えたのです」。
その後10年間、RSA社の情報漏洩に関わった多くの主要幹部は、10年間の秘密保持契約に縛られ、沈黙を守ってきた。しかし、その契約も期限切れとなり、新たに詳しい話を聞くことができるようになりました。彼らの証言は、世界規模でネットワーク化された最も価値の高い標的を辛抱強く執拗に狙う高度な国家ハッカーに狙われた経験を捉えています。敵は時に、犠牲者のシステムの相互依存関係を犠牲者自身よりもよく理解し、その隠れた関係を利用することもいとわないのです。
国家によるハッキングやサプライチェーンの乗っ取りが横行した10年後、RSAの不正アクセスは、現在のデジタル・インセキュリティの時代の到来を告げるものであり、決意のある敵が、私たちが最も信頼しているものをいかに蝕むことができるかという教訓を示すものであると言えるでしょう。
2011年3月8日、晩冬の爽やかな日、Todd Leethamは一服し、マサチューセッツ州ベッドフォードにあるRSA本社(ボストン郊外の森の端にある2つの連結した建物)に戻ろうとしました。
その管理者は、あるユーザーが普段使っていないPCからサーバーにアクセスしていることに気づき、そのアカウントの権限設定に異常があるようだと指摘した。リーサムと管理者と共に異常なログインを調査していた技術責任者は、RSAのベテラン・エンジニアであるビル・ドゥアンに見てもらうよう依頼した。当時、暗号アルゴリズムの研究で忙しかったDuaneにとって、この異常はほとんど心配するようなものではありませんでした。「正直言って、この管理者は頭がおかしいと思った」と彼は振り返る。「幸いなことに、彼は頑固で、何かがおかしいと言い張ったんだ」。
リーサムと同社のセキュリティ・インシデント対応担当者は、異常な行動を追跡し、異常なアカウントが触ったすべてのマシンのフォレンジックを分析し始めた。そして、従業員の認証情報に、数日前からさらに多くの奇妙な点が見つかり始めたのです。管理者は正しかったのだ。「案の定、これは氷山の一角だった」とDuaneは言う。
その後数日間、RSA社のセキュリティ・オペレーション・センターのセキュリティ・チームは、NASA風のコントロールルームに机を並べ、壁一面にモニターを設置し、侵入者の指紋を丹念にトレースしていった。RSAのスタッフは、自分たちが追跡している侵入事件がまだ進行中であるという冷厳な認識に駆られ、20時間近い労働を強いられるようになった。経営陣は、昼夜を問わず4時間ごとに調査結果のアップデートを要求してきた。
アナリストたちは、最終的に情報漏えいの原因を、調査を開始する5日前にRSAの従業員のPCに届いたと思われる1つの悪質なファイルに突き止めました。オーストラリアのある社員は、「2011年採用計画」という件名のメールと、それに添付されたExcelスプレッドシートを受け取りました。彼はそれを開いた。そのファイルの中には、Adobe Flashのゼロデイ脆弱性(パッチが適用されていない秘密のセキュリティ欠陥)を悪用するスクリプトがあり、被害者のマシンにPoison Ivyという一般的な悪意のあるソフトウェアを仕込んでいました。
エフセキュアのHirvonen氏は、このRSAのネットワークへの最初の侵入経路は、特に巧妙なものではなかったと、後に独自の分析で指摘しています。もし被害者がより新しいバージョンのWindowsやMicrosoft Officeを使用していたり、企業や政府機関のネットワークのセキュリティ管理者が推奨するように、PCへのプログラムのインストールを制限していたりすれば、ハッカーはFlashの脆弱性を悪用することさえできなかっただろうとHirvonenは述べています。
しかし、RSAのアナリストによれば、侵入者たちはこの侵入からその能力を発揮し始めたといいます。実際、RSAの幹部数名は、少なくとも2つのハッカーグループが同時にネットワークに侵入しており、高度な技術を持ったグループが、おそらく自分たちが知っているかどうかにかかわらず、もう一方のグループのアクセスを悪用していると考えるようになったのです。当時、RSA の最高セキュリティ責任者であった Sam Curry 氏は、「最初の攻撃が残した森の中の痕跡があり、その真ん中で枝分かれしているのが 2 番目の痕跡です」と述べています。「そして、その2回目の攻撃は、より巧妙なものでした」。
このオーストラリア人従業員のPCでは、何者かがマシンのメモリから認証情報を引き出すツールを使い、そのユーザー名とパスワードを再利用してネットワーク上の他のマシンにログインしていたのです。さらに、それらのコンピュータのメモリを漁って、より特権的な管理者のものと思われるユーザー名とパスワードを見つけ出したのです。ハッカーは最終的に、数百人のユーザーの認証情報を含むサーバーにたどり着きました。今日、このような認証情報を盗み出す技術は一般的です。しかし、2011年当時、アナリストはハッカーがネットワーク上に散らばる様子に驚きました。「今まで見た中で最も残忍な方法で、我々のシステムを破壊していました」とDuaneは言います。
RSAのような大規模な不正アクセスは、侵入者が去った後、数ヵ月後に発見されることがよくあります。しかし、Duaneは、2011年の事件は違うと言う。数日のうちに、調査員は侵入者に追いつき、その行動を観察していたのです。「侵入者がシステムに侵入しようとすると、1〜2分後には我々がそれを察知し、システムを停止させたり、アクセスを不能にしたりするのです」とDuaneは言う。「私たちは、リアルタイムで彼らと戦っていたのです」。
リーサムがハッカーに捕まったのは、その熱狂的な追跡の最中のことで、彼は今でも最優先のターゲットであったと考えています。
RSA社の幹部は、SecurIDハードウェアトークンの製造を担当するネットワークの一部は、「エアギャップ」(インターネットに接続するすべてのマシンからコンピュータを完全に切り離すこと)で保護されていると話してくれました。しかし、実際には、RSA社のインターネットに接続されたネットワークの1つのサーバーが、他の接続を許さないファイアウォールを介して、製造側の種子倉庫とつながっていたとリーサム氏は言う。15分ごとに、そのサーバーから一定数の種子を取り出し、暗号化してCDに書き込み、SecurIDの顧客に配るのだ。この連携が必要だった。RSA社のビジネス部門は、顧客が独自のサーバーを設置し、ログイン時に入力された6桁のコードをチェックできるようにするためである。CDを顧客に発送した後も、顧客のSecurIDサーバーやセットアップCDが何らかの理由で破損した場合のバックアップとして、シードウェアハウスのサーバーにシードが残されているのだ。
そして今、リーサムは15分に1回の接続ではなく、毎秒数千回の継続的なデータ要求のログを目にしています。さらに、ハッカーはこれらのシードを1つだけでなく3つの危険なサーバーに集め、1つの接続されたマシンを通してリクエストを中継していました。彼らはシードのコレクションを3つに分けてパッケージ化し、遠く離れたラックスペースのサーバーに移動させ、それらを再結合して、RSAがシードウェアハウスに保管していたすべてのシードの完全なデータベースであるかのように見せかけたのです。私は、『すごい』と思いました」とリーサムは言います。「ちょっと感心しました。でも同時に、『なんてこった』とも思いました」。
リーサムは、シードコレクションがコピーされた可能性が高いことに気づき、ハッカーのサーバーからデータを削除しようとしたのですが、遅きに失していました。RSA社に対する顧客の信頼、おそらく最も価値のある商品が、消滅しようとしていたのです。「RSA社に対する顧客の信頼、おそらくは最も価値のある商品が消滅しようとしていたのです。「RSAはもう終わりだ」。
夜遅く、セキュリティ・チームがシード倉庫が略奪されたことを知った。ビル・ドゥエインが決断した。RSA社のネットワーク接続を物理的に遮断して、被害を最小限に食い止め、これ以上データが盗まれるのを阻止するのだ。特に、シードに対応する顧客情報を保護し、ハッカーがそれを利用するために必要な情報を保護することを望んだ。(RSA社のスタッフの中には、シードは暗号化された状態で保存されており、ネットワーク接続を遮断することで、ハッカーが解読に必要な鍵を盗むのを防ぐ目的があったのではないか、と指摘する者もいた)。DuaneとIT担当者はデータセンターに入り、イーサネットケーブルを1本ずつ抜いていき、製造施設、顧客からの注文など主要なビジネスプロセスを処理するネットワークの一部、さらには同社のウェブサイトへの接続を遮断した。「私は基本的にRSA社のビジネスを停止させたのです」と彼は言う。「これ以上データが流出しないように、会社の機能を停止させたんだ」。
翌日、RSA社のCEOであるArt Coviello氏は、オフィスに隣接する会議室でミーティングを行い、進行中の情報漏洩に関する公式声明を準備していた。Coviello氏は、侵入が発見されて以来、最新情報を入手していた。侵入の規模が大きくなるにつれ、彼はブラジルへの出張を取りやめた。しかし、彼は比較的平静を装っていた。ハッカーは、クレジットカードや顧客情報などの機密情報を漏洩させたわけではなさそうだからだ。ハッカーを追い出し、声明を発表し、ビジネスを開始するのだろうと考えていた。
しかし、会議の途中で、同席していたマーケティング担当者が自分の携帯電話を見て、「やれやれ」とつぶやいたのを、彼は覚えている。
コヴィエロは、「どうしたんですか?と聞いた。コヴィエロは、彼女から携帯電話を取り上げて、メッセージを読んだ。ビル・デュアンがコヴィエロの事務所に来て、直接CEOに報告したいと言っている。ビル・デュアンがコヴィエロのオフィスに行くと、彼はこう言った。ハッカーがSecurIDのシードに到達したのだ。「ハッカーがSecurIDのシードにたどり着いたという知らせだったのです。
その後数時間、RSAの幹部たちは、どのように公表するかについて議論した。法務部のある人物は、実際には顧客に伝える必要はないと提案した、とSam Curry氏は記憶している。Coviello氏は、テーブルに拳を打ちつけた。コヴィエロはテーブルに拳を打ち付けた。彼は、情報漏洩を認めるだけでなく、顧客一人ひとりに電話をかけ、その企業がどのように自らを守ることができるかを話し合うと主張したのである。親会社であるEMC社のCEO、Joe Tucci氏はすぐに、4000万個以上のSecurIDトークンをすべて交換することを提案しました。しかし、RSA社にはそれだけのトークンを用意する余裕はなく、それどころか、ハッキングされたことで製造の停止を余儀なくされることになりました。ハッキングの後、数週間は生産能力が低下した状態でしか生産を再開することができませんでした。
復旧作業が進むにつれ、ある幹部が「プロジェクト・フェニックス」と名付けることを提案しました。しかし、コヴィエロは即座にその名前を否定した。「そんなバカな」と彼は言った。「灰の中から立ち上がるのではないのだ。このプロジェクトは、『アポロ13号』と呼ぶことにしよう。無傷で着陸させるんだ」。
3月17日、翌朝7時、RSA社の北米販売責任者であるデビッド・カスティニョーラは、デトロイトにある地元のジムでトレッドミルを使った早めのワークアウトを終えていた。携帯電話を手に取ると、その日の朝から12件もの電話がかかってきており、そのすべてがRSA社の社長であるトム・ハイザーからのものだった。ハイザーのボイスメールによると、RSA社は大規模なセキュリティ侵害を発表するところだった。彼はその場にいる必要があった。
数時間後、飛行機を乗り継いでベッドフォードにあるRSA社の本社に駆けつけ、4階の会議室に入った。カスティニョーラは、この1週間、危機的状況にあったスタッフの顔が青ざめているのに気がついた。「小さな指標を得るたびに、そう思いました。これは、私の想像をはるかに超えた事態だ」と、カスティニョーラは振り返る。
その日の午後、コヴィエロはRSA社のウェブサイトに顧客向けの公開書簡を掲載した。「最近、当社のセキュリティ・システムは、進行中の極めて巧妙なサイバー攻撃を確認しました」と、その手紙には書かれている。「現時点では、抽出された情報はRSA SecurIDの顧客に対する直接的な攻撃を可能にするものではないと確信していますが、この情報は広範な攻撃の一環として、現在の2ファクタ認証実装の有効性を低下させるために使用される可能性があります」と、危機をやや軽視した内容で続けられています。
ベッドフォードでは、カスティニョーラに会議室が与えられ、必要なだけ社内のボランティアを募る権限が与えられた。90人近いスタッフが交代で、数週間かけて昼夜を問わず、すべてのお客様に1対1で電話をかけるという作業を始めた。彼らは台本に従って、ハッカーに複製されにくいように、SecurIDのログインにPIN番号を追加したり長くしたりするなどの保護策を顧客に説明した。カスティニョーラは、夜10時にビルの廊下を歩いていると、閉まったドアの向こうでスピーカーフォンから電話がかかってくるのが聞こえたのを覚えている。多くの場合、顧客は叫んでいた。カスティニョーラ、カリー、コビエロの3人は、それぞれ何百回も電話をかけた。カリーは、自分の肩書きを「チーフ・アポジー・オフィサー」だと冗談を言うようになった。
同時に、社内にはパラノイアが蔓延しはじめた。発表後の最初の夜、カスティニョーラは、配線用のクローゼットの前を通ると、そこから想像をはるかに超える数の人が出てきたのを覚えている。「あの人たちは誰だ」と、近くにいた他の役員に聞いた。あの人たちは誰だ」と、近くにいた別の役員に聞くと、「あれは政府だ」と曖昧な答えが返ってきた。
実は、カスティニョーラがマサチューセッツに到着するまでに、NSAとFBIの両方が、防衛関連企業のノースロップグラマン社と事故対応企業のマンディアント社に、会社の調査協力の要請をしていたのである。(偶然にも、マンディアント社の社員は侵入事件前にすでに現場にいて、RSA社のネットワークにセキュリティ・センサー装置を設置していたのです)。
これは、周囲の森にいるスパイを想定して、窓ガラスの振動から会話を聞き出すレーザーマイクによる長距離盗聴を防ぐためである。また、建物の中に虫がいないか、徹底的に調べました。しかし、中には電池が切れているような古い盗聴器もあった。しかし、その盗聴器が侵入と関係があるのかどうかは不明である。
一方、RSA社のセキュリティ・チームと、それを支援するために招聘された調査員は、カリー氏の言葉を借りれば、「家を徹底的に解体」していた。カリー氏によれば、ハッカーはネットワーク上のあらゆる場所で、侵入された可能性のあるマシン、さらにはそのマシンに隣接するマシンの中身を洗い出しました。「私たちは、ハッカーが使用しているマシンの中身を物理的に消去して回りました」とカリーは言います。「データを失ったとしても、それは仕方がないことです」。
2011年5月下旬、情報漏えいの発表から約2カ月後、RSAはまだ復旧、再構築、顧客への謝罪を行っている最中に、余震に襲われた。有力な技術ブロガー、ロバート・X・クリンジェリーのウェブサイトに、「InsecureID:No More Secrets?
この投稿は、ある大手防衛関連企業の内部情報筋からの情報に基づくもので、同社は、盗んだRSAのシード値を使って侵入したと思われるハッカーによる大規模な侵入に対応しているとクリンゲリー氏に伝えたという。その防衛関連企業の社員は全員、RSAトークンを交換させられていた。突然、RSA社の侵入は、同社の最初の発表で説明されたよりもはるかに深刻に思われました。「RSAをクラックした者がその鍵に合う錠前を見つけるのに、そう時間はかからなかった」とクリンゲリー氏は書いている。"もし、すべてのRSAトークンが、いたるところで危険にさらされているとしたら?"
その2日後、ロイターはハッキングされた軍事請負業者の名前を明らかにした。ロッキード・マーチン社は、兵器や諜報技術の超極秘計画の宝庫である。「かさぶたは治りつつあった」とカスティニョーラは言う。「ところが、ロッキードが襲ってきた。キノコ雲みたいなものだ。また、同じことを繰り返すんだ」。
その後、防衛関連企業のノースロップ・グラマン社やL-3社の名前も報道されるようになった。SecurIDのシード値を持ったハッカーが、この2社もターゲットにしたと報道された。また、ハッカーがロッキード・マーチン社内で何にアクセスしたのかも明らかにされていない。同社は、スパイが顧客データや機密事項などの機密情報を盗むのを防いだと主張している。
2011年6月初旬、RSA社のArt Coviello氏は、顧客に宛てた別の公開書簡で、「3月にRSA社から持ち出された情報が、米国政府の大手防衛関連企業であるロッキード・マーティン社への広範な攻撃を試みる要素として使用されていたことを確認することができた」と認めている。
10年後の今日、Coviello氏や他の元RSA幹部は、当時の説明と明らかに矛盾する話をしている。私に話をしたRSAの元社員のほとんどは、SecurIDがロッキード社の情報漏洩に何らかの関与をしていたことは証明されていないと主張しています。Coviello、Curry、Castignola、Duaneの4人は、RSAのシステム内に侵入した者が、暗号化されていない完全なシード値のリストや、シードを悪用するために必要なシードにマッピングされた顧客リストを盗んだことは確認されていない、と主張します。Coviello氏は、「Lockheed社の攻撃は、私たちとは全く関係がないと思います」ときっぱりと述べています。
一方、2011年以降、ロッキード・マーチンは、RSAのSecurID侵害で盗まれた情報を足がかりに、ハッカーがいかにして自社のネットワークに侵入したかを詳細に説明しています。同社の事故対応に詳しいロッキード社の関係者は、WIREDの取材に対して、同社の当初の主張を再確認した。「我々はフォレンジック調査の結果を支持している」と、この関係者は言う。"我々の分析では、2要素認証トークンプロバイダの侵害が、我々のネットワークへの攻撃の直接的な要因であると判断しました。"この事実は、メディアによって広く報道され、Artを含む我々のベンダーによって公に認められていることです。実際、ロッキード社の関係者によると、同社はハッカーがSecurIDコードを入力するのをリアルタイムで見て、標的となったユーザーがトークンを失っていないことを確認し、そのユーザーのトークンを交換した後、ハッカーが古いトークンからコードを入力して失敗し続けるのを見ていたとのことだそうです。
NSAは、その後の不正侵入におけるRSAの役割に大きな疑問を抱いていません。NSAの長官であるキース・アレグザンダー将軍は、RSA侵入事件の1年後に行われた上院軍事委員会へのブリーフィングで、RSAハッキングによって「少なくとも1社の米国防衛関連企業が偽造クレデンシャルを振り回す行為者の被害に遭った」、「国防省は使用していたRSAトークンをすべて交換せざるを得なかった」と述べています。
公聴会でアレクサンダーは、これらの攻撃を、ますます一般的になっている中国に漠然と原因を求めることにしました。ニューヨーク・タイムズ紙とセキュリティ企業のマンディアント社は、後にマンディアント社がAPT1と名付けた中国国家ハッカー集団に関する画期的な暴露記事を発表することになります。このグループは、上海郊外を拠点とする人民解放軍61398部隊と考えられています。このグループは、過去5年間に米国、カナダ、韓国、台湾、ベトナム、国連、そしてRSAの政府をターゲットにしてきました。
この報告が公表された後、ビル・ドゥエインはハッカーの本部の写真をプリントアウトした。彼はそれをオフィスのダーツボードに貼った。
20年以上勤めた後、2015年にRSA社を退職したドゥエインに、どの時点でRSA社の侵害が本当に終わったと考えたのか尋ねてみました。それは、彼が孤独な決断を下して、会社のネットワークの一部を切り離した翌朝でしょうか?それとも、NSA、FBI、Mandiant、Northropが仕事を終えて立ち去った時でしょうか。「私たちの見解は、攻撃は決して終わっていなかったということです」と彼は答えます。「彼らはバックドアを残しており、常に侵入することが可能で、攻撃者は彼らのリソースがあれば、侵入したいときに侵入することができると考えていました。
10年後の今日、Coviello氏や他の元RSA幹部は、当時の説明と大きく矛盾する話をしている。私に話をしたRSAの元社員のほとんどは、SecurIDがロッキード社の情報漏洩に何らかの関与をしていたことは証明されていないと主張しています。Coviello、Curry、Castignola、Duaneの4人は、RSAのシステム内に侵入した者が、暗号化されていない完全なシード値のリストや、シードを悪用するために必要なシードにマッピングされた顧客リストを盗んだことは確認されていない、と主張します。Coviello氏は、「Lockheed社の攻撃は、私たちとは全く関係がないと思います」ときっぱり言い切っています。
一方、2011年以降、ロッキード・マーチンは、RSAのSecurID侵害で盗まれた情報を足がかりに、ハッカーがいかにして自社のネットワークに侵入したかを詳細に説明しています。同社の事故対応に詳しいロッキード社の関係者は、WIREDの取材に対して、同社の当初の主張を再確認した。「我々はフォレンジック調査の結果を支持している」と、この関係者は言う。"我々の分析では、2要素認証トークンプロバイダの侵害が、我々のネットワークへの攻撃の直接的な要因であると判断しました。"この事実は、メディアによって広く報道され、Artを含む我々のベンダーによって公に認められていることです。実際、ロッキード社の関係者によると、同社はハッカーがSecurIDコードを入力するのをリアルタイムで見て、標的となったユーザーがトークンを失っていないことを確認し、そのユーザーのトークンを交換した後、ハッカーが古いトークンからコードを入力して失敗し続けるのを見ていたとのことだそうです。
NSAは、その後の不正侵入におけるRSAの役割に大きな疑問を抱いていません。NSAの長官であるキース・アレグザンダー将軍は、RSA侵入事件の1年後に行われた上院軍事委員会へのブリーフィングで、RSAハッキングによって「少なくとも1社の米国防衛関連企業が偽造クレデンシャルを振り回す行為者の被害に遭った」、「国防省は使用していたRSAトークンをすべて交換せざるを得なかった」と述べています。
公聴会でアレクサンダーは、これらの攻撃を、ますます一般的になっている中国に漠然と原因を求めることにしました。ニューヨーク・タイムズ紙とセキュリティ企業のマンディアント社は、後にマンディアント社がAPT1と名付けた中国国家ハッカー集団に関する画期的な暴露記事を発表することになります。このグループは、上海郊外を拠点とする人民解放軍61398部隊と考えられています。このグループは、過去5年間に米国、カナダ、韓国、台湾、ベトナム、国連、そしてRSAの政府をターゲットにしてきました。
この報告が公表された後、ビル・ドゥエインはハッカーの本部の写真をプリントアウトした。彼はそれをオフィスのダーツボードに貼った。
20年以上勤めた後、2015年にRSA社を退職したドゥエインに、どの時点でRSA社の侵害が本当に終わったと考えたのか尋ねてみました。それは、彼が孤独な決断を下して、会社のネットワークの一部を切り離した翌朝でしょうか?それとも、NSA、FBI、Mandiant、Northropが仕事を終えて立ち去った時でしょうか。「私たちの見解は、攻撃は決して終わっていなかったということです」と彼は答えます。「彼らはバックドアを残しており、常に侵入することが可能で、攻撃者は彼らのリソースがあれば、侵入したいときに侵入することができると考えていました。
InsecureID: No more secrets?
InsecureID:もう秘密はない?
Update - 私は被害を最小限に抑えるために防衛関連企業の正体を伏せることにしましたが、その後ロイターによってロッキード・マーチンであることが明らかにされました。土曜日のNew York Timesの記事の最後に、もう一つ詳細が紹介されていました。
3月、私は会社のネットワークを攻撃から守る仕事をしている旧友から、次のような話を聞きました。EMCのRSAデータ・セキュリティ部門がハッキングされたことを指して、「RSAで何が漏れたのか、何か情報はないのか」と尋ねたのです。と、EMC社のRSA Data Security部門がハッキングされた経緯について質問した。「シリアル番号、シード、そしておそらく鍵の生成時間に過ぎないのではないかと思う。アルゴリズムは何年も前から知られていますが、シードをアカウントと照合できない限り、どの錠に合うかわからない鍵を持っているようなものです。そうすると、ブルートフォース(総当り)攻撃は簡単になるかもしれないが、まず攻撃者はブルートフォースするための何かを必要とする......」。
RSAを解読した人が、その鍵に合う錠前を見つけるのに、そう時間はかからなかった。
先週末は、RSA社のSecureIDトークンを使って企業ネットワークへのリモートVPNアクセスに二要素認証を提供している米国の超大手防衛関連企業にとって、最悪の事態となりました。日曜日の夜遅く、社内ネットワークへのすべてのリモートアクセスが無効になった。従業員に伝えられたのは、少なくとも1週間はダウンする、ということだけだった。普段から在宅勤務をしている人たちは、近くのオフィスに出社して仕事をするように言われた。そして今日(水曜日)、RSA SecureIDトークンを持っている全員に、今後数週間のうちに新しいトークンを配布するとの連絡がありました。また、ネットワーク上の全員(10万人以上)がパスワードのリセットを要求されるとのことで、これはおそらく管理者ファイルが漏洩したことを意味します。
RSAネットワークをハッキングした者は、現在のトークンのアルゴリズムを入手し、この会社のイントラネットにアクセスするための1台以上のコンピュータにキーロガーをインストールすることに成功したと思われます。この2つの情報を使って、彼らは内部ネットワークにアクセスすることができたのです。
請負業者のデータ・セキュリティ担当者は、これを阻止できるほどではなかったものの、この事態を予見していました。RSAの情報漏えいの直後から、リモートログインの際に2つ目のパスワードを要求するようになりました。しかし、これではキーロガー攻撃には対抗できない。
ここで良いニュースは、請負業者が侵入を検知し、それに対処するために正しいことを行ったということです。 このような侵入は非常に巧妙で、簡単に発見することはできません。 この事件は、ITの世界で多くの余震をもたらすだろう。
しかし、このような大規模な企業ネットワークへの侵入は、今回が唯一の例なのだろうか。私たちがこの件について何も聞いていないという事実(私は聞いていません、あなたはそうでしたか?)から、これはおそらく最近のRSAハッキングによる最初のネットワーク侵入ではない...あるいは最後でもない、と私は思います。
もし、すべてのRSAトークンが侵害されているとしたら、どうでしょう?
3月頃、私の友人は、「まだ投資をあきらめた人は見ていない」と言った。「ほとんどのネットワークは暗号化されたチャンネルでトークンの値を交換するので、セキュリティの表面はまだそこにあります。攻撃が成功するまでは(どうやって知ることができるのか)、レミングは満足している。
さて、攻撃は成功し、誰がどんな国家機密を公開したのだろうか?
レミングは今、動揺している。あるいは、あなたが今知っていることを知れば、そうなるであろう。
今、彼らは知っていると思います。
How Lockheed Martin's 'Kill Chain' Stopped SecurID Attack
www.darkreading.com ロッキード・マーチンの「キルチェーン」がSecurID攻撃を食い止めた理由 ロッキード・マーチンが自社開発の「サイバー・キルチェーン」フレームワークを使って攻撃を撃退した貴重な内幕を紹介します。
RSAが侵入され、同社のSecurIDデータベースが高度な攻撃で公開されたというニュースでセキュリティ界を震撼させてから数カ月後、防衛関連企業のロッキード・マーチンは、正規の認証情報を使用してネットワーク内に侵入している者を発見しました。 ロッキード・マーティンのサイバーセキュリティ担当ディレクターであるSteve Adegbite氏は、2011年5月から6月初旬にかけての侵入について、「ほとんど見逃していました」と述べています。「最初は部署の新入社員の仕業だと思ったんですが、だんだん面白くなってきて......」。
この侵入者は、ロッキード・マーチンのビジネス・パートナーの有効な認証情報を使っており、その中にはそのユーザーのSecurIDトークンが含まれていました。Adegbite氏によると、このユーザーが通常の業務を行っていないことはすぐに明らかになったそうです。「彼らは多くのアラームを鳴らしていたのです」と彼は言います。「彼らはデータを段階的に取得しようとしていました。
このプロセスは、基本的に侵入者の動きを追跡し、ネットワークからデータを吸い上げようとする各試行に障壁を投げかけるものです。Adegbite氏は先週、プエルトリコのサンフアンで開催されたKaspersky Security Analyst Summitで、高度持続的脅威(APT)攻撃者を阻止するためのこの数百万ドル規模のフレームワークについて詳しく説明しました。キルチェーンは、侵入した攻撃者が何も持ち出さずに退出するのを阻止することを目的としています。
Adegbite氏によると、このRSA SecurID後の攻撃では、悪者たちは手ぶらで帰ってきたそうです。「情報が失われることはなかったのです。このフレームワーク(Kill Chain)がなかったら、問題になっていたでしょう」とAdegbite氏は言う。ロッキード社のデータ漏洩防止システムは、Kill Chainの1レイヤーであり、認証されたユーザーであっても、情報にアクセスする正当な理由がない場合はアクセスを拒否すると、同氏は指摘している。
[今後の攻撃への懸念はまだ残っていますが、専門家は今回の出来事によって、セキュリティに関する白黒の考え方に揺さぶりをかけることができたと期待しています。RSAの情報漏えいの長期的な影響を評価する」を参照してください。]
キルチェーンフレームワークの鍵は、インテリジェンス主導の防御にあります。「私たちは相手が何をしようとしているのかを見極め、その目的に焦点を当て、その目的を断ち切るのです。「ドアの防御はできるけど、そこに座って全力を注ぐことはしない」。
ロッキード社のネットワークは巨大で、60カ国570拠点に300万以上のIPアドレスと12万3千人の従業員がおり、明らかにサイバー攻撃の格好の標的になっています。「私たちは、多くの敵対者が多くのリソースを持ち、私たちの前に姿を現したのです。そのため、SOC(セキュリティ・オペレーション・センター)からセキュリティ・インテリジェンス・センターへと移行する必要があったのです。
「ネットワークに異常が発生したときに、炭鉱のカナリアとなることもあります。「また、ネットワークへの投資を正当化するために利用することもできます。
これは知恵比べです。ロッキード社は、ツール、分析、人員を駆使して、攻撃者の立場で考え、その動きを観察している。Adegbite氏は、「攻撃者がネットワークから情報を引き出すために正しい行動を取るのは一度きりだ」と述べています。
このような攻撃者は通常、偵察、武器化、配信、搾取、マルウェアのインストール、感染したマシンの指揮統制など、半ダースのステップで行動すると同氏は言います。「キルチェーンの目標は、彼らがステップ7に到達して侵入しないようにすることです」と彼は述べています。
もちろん、こうした標的型攻撃のほとんどは、単独で行われるものではありません。通常、これらの攻撃はキャンペーンとして行われることが多いそうです。Adegbite氏は、「これらの攻撃を包括的に見ることができれば、役に立ちます」と述べています。「彼らも人間ですから、休暇を取ることもあります。キルチェーンでも、その情報、つまり人間の知能を利用することができます。例えば、あるグループはある時期に活動するので、ロッキードはそのような情報に基づいて、それに応じて防衛資源を計画することができるのです。
また、Adegbite氏によれば、ロッキードは調達力を駆使してセキュリティ・ベンダーを取り込み、キルチェーン要件に対応した製品の強化を図ったとのことです。
しかし、サイバーキルチェーンフレームワークは万人向けではありません。「この技術には、数百万ドルの投資が必要です。APTのような攻撃を受ける可能性がある場合のみです」と彼は言います。
ロッキード社は同時期に、少なくとももう1件、RSAの大規模なハッキングをきっかけとした攻撃未遂に見舞われています。一部のセキュリティ専門家は、この攻撃をRSA社のSecurID侵害の影響によるものと考えています。Adegbite氏によると、RSA社はその後、念のために顧客にSecurIDトークンの交換を提供しましたが、Lockheed社はそれがRSA社の侵害の結果であるとは確認しなかったとのことです。
この記事についてコメントをお持ちですか?下の「コメントを追加する」をクリックしてください。Dark Readingの編集者に直接連絡したい場合は、メッセージを送ってください。
