こんにちは、CSC の CloudFastener というプロダクトで TAM のポジションで働いている平木です!
今回は、日本発の世界トップクラスの専門家による最先端の技術研究が発表される国際的なサイバーセキュリティカンファレンス、CODE BLUE に参加してきたため参加レポートを執筆します。
「狙われる脆弱性の特徴とは?:IoT ハニーポット×OSINT による実証的アプローチ 」の概要
- Speakers: パナソニック ホールディングス株式会社 田口 航平氏, 中野 学氏
- Category: OpenTalks
- Location: Track 2(HALL A)
脆弱性の対応優先度を判断するための CVSS は「攻撃に利用されている実態」を表していません。
本講演では、パナソニックの IoT 機器をハニーポットとして運用して特定した「実際に悪用されている脆弱性」と、OSINT から収集した「IoT マルウェアが標的とする脆弱性」の CVSS パラメータを比較・分析します。
これにより、パナソニックにとって優先度の高い脆弱性の主な特徴を報告し、組織の脆弱性対応の意思決定に役立つ実践的な知見を提供します。
セッションレポート
インテリジェンスとは、情報を収集し、良い感じに処理し、行動や意思決定していくこと、と解説されていました。
中野氏の講演スライドより
パナソニックさんでは、自社の IoT 機器にグローバル IP を割り当て、インターネット経由で情報を収集し、脅威情報を収集・分析をしているとのことです。
その数は 8 年間で 32 億件にのぼります。
中野氏の講演スライドより
収集したデータをどうしているかについて、本セッションで触れています。
パナソニックさんでは、出荷後の製品の脆弱性を収集するところまでを担い、世の中の脅威分析に役立てている。
中野氏の講演スライドより
脆弱性対応を行うにあたり、全ての脆弱性に対処できるわけではないため、
トリアージを行い、なぜその脆弱性の対応するのかという部分まで考える必要があるとのことです。
中野氏の講演スライドより
トリアージの指標の 1 つに CVSS がありますが、単一の指標だけでは本当に対応すべき脆弱性の優先度を見極めることは困難です。
中野氏の講演スライドより
高リスクの脆弱性を判別するために、実際に IoT ハニーポッドで攻撃として検知した脆弱性を CVSS などと掛け合わせ、必要な脆弱性対応を進めているようです。
中野氏の講演スライドより
IoT ハニーポッドの調査をするにあたり、
CVSS ベーススコアに含まれるメトリクスなどの指標を活用して、
IoT 製品自体に組み込まれるソフトウェアの中で狙われやすいものを分析したとのことです。
田口氏の講演スライドより
調査は以下の 2 種類のアプローチで実施されました。
- IoT マルウェアに組み込まれる高リスクな脆弱性を調査
- 製品(IoT ハニーポッド)に届く攻撃の特徴を把握
上記 2 点を CVSS や CWE 分析を行っていったとのことです。
調査対象として代表的な IoT マルウェアに組み込まれたエクスプロイトのうち、以下 4 つをピックアップしたとのことです。
- Mozi
- AndoxGh0st
- Oaptor Train Botnet(別名 NOSEDIVE)
- IZ1H9
調査手法としては以下のようです。
- ピックアップした IoT マルウェアでそれぞれ悪用されている脆弱性を OSINT ツールから収集
- IoT ハニーポッドで観測した実際の脆弱性
田口氏の講演スライドより
田口氏の講演スライドより
データ分析の指標として CVSS と CWE を活用したとのことです。
田口氏の講演スライドより
CVSS には最もデータが充実していた v3.1 を採用し、3 つのメトリクスグループの中から、時間経過やユーザー環境に影響されないベースメトリクスグループを採用しました。
田口氏の講演スライドより
PoC の公開や KEV の登録状況も評価に利用できると考えたようです。
田口氏の講演スライドより
ここから詳細な分析結果についての解説に入ります。
分析結果から High 以上が大半を占めており、特に IoT ハニーポッドではよりスコアの高い、
重大な脆弱性が好んで悪用されていることが分かります。
田口氏の講演スライドより
田口氏の講演スライドより
AV(攻撃元区分)の分析からは攻撃者がネットワーク経由での攻撃を好み、 AC (攻撃条件の複雑さ)の分析から複雑でない手法を好んでいることが分かります。
田口氏の講演スライドより
PR (必要な特権レベル)の結果から、特権を必要としない脆弱性、UI (ユーザーインタラクション)の結果からユーザーの操作を必要としない脆弱性を悪用されていることが分かります。
田口氏の講演スライドより
PoC が公開されていたり KEV に登録されていたりする脆弱性は、攻撃者にとって攻撃者のハードルを下がるため、より利用されやすい傾向にあります。
田口氏の講演スライドより
続いて IoT マルウェアにおけるベーススコアが低い脆弱性に着目し調査を進めてみたとのことです。
田口氏の講演スライドより
攻撃ペイロードの一部だがマルウェアを展開するための初期侵入に利用しているケースが分かります。
田口氏の講演スライドより
CVE-2024-3378 のケースだと、認証情報などの取得によるマルウェアを展開するための初期侵入に利用されています。
田口氏の講演スライドより
CVSS が 7 未満は、マルウェア展開のための初期侵入に使われることがあることが判明しました。
また、 AV=NW、AC=L という共通点と CI=LOW、II=LOW という共通点が見られることが分かります。
田口氏の講演スライドより
IoT ハニーポッドでも同様に調査しました。
田口氏の講演スライドより
こちらも実際のペイロードを見ると、エンドポイントへアクセスすることで任意のファイル(マルウェア等を含むファイル)をアップロードしようとしていることが分かります。
ファイル名がランダム文字列であることからあえてスキャンさせるためのものを配置しているようです。
画像は割愛します。
こちらのペイロードでは任意のユーザー名の存在をスキャンしていることが分かります。
田口氏の講演スライドより
IoT マルウェアと同様に、機密性・完全性に影響を与える脆弱性が実際に悪用されていることが分かりました。
田口氏の講演スライドより
また、CWE の分析結果から CWE 上位 10 カテゴリが全体の 4 分の 3 程度集中していることが分かりました。
特定の脆弱性を攻撃者は狙っているということが見て取れます。
田口氏の講演スライドより
CWE top25 との整合性においてもほとんどが一致します。
田口氏の講演スライドより
まとめとして、遠隔から攻撃可能で、攻撃の煩雑さが低く、特権やユーザー操作をも必要としない脆弱性がより好まれるというころが分かりました。
田口氏の講演スライドより
また、IoT ハニーポッドならではの特徴としてゼロデイ観測とトレンド把握が可能な点が挙げられます。
田口氏の講演スライドより
各観測年毎にハニーポッドで観測された結果、2022 年~2024 年までベーススコアが高い脆弱性が狙われていることが分かりました。
また近年の傾向としては、攻撃した場合にインパクトの大きいものを狙っている傾向がある。
田口氏の講演スライドより
攻撃者も近年は多様化していることが分かります。
田口氏の講演スライドより
CWE の分析結果から OS コマンドインジェクションは上昇傾向、パストラバーサルは下降傾向も判明しました。
田口氏の講演スライドより
近年はより効果的な脆弱性を突いた攻撃が増えているということが分析結果から見て取れました。
田口氏の講演スライドより
まとめ
こちらのセッションでは、
IoT 機器におけるインテリジェンスの実態
について詳しく知ることができました。
この記事がどなたかの役に立つと嬉しいです。
Discussion