Microsoftは米国時間11月22日、オープンソースソフトウェア(OSS)のサプライチェーンのセキュリティに関し、あらゆる企業が警戒すべき一風変わったサイバーセキュリティの脅威について警鐘を鳴らした。
提供:Getty Images/iStockphoto
Microsoftのセキュリティ脅威インテリジェンスチーム(MSTIC:Microsoft Security Threat Intelligence Team)は、セキュリティベンダーのRecorded Futureが2022年4月に公開したレポート「Continued Targeting of Indian Power Grid Assets by Chinese State-Sponsored Activity Group」(中国政府の支援を受けたグループによる、インド電力網の資産に対する継続的攻撃)について、独自の調査を実施したという。同レポートには、過去2年にわたってインドの電力業界を標的にしている脅威アクティビティーグループの攻撃が記されている。
Recorded Futureは、2021年後半から2022年第1四半期にかけて観測した、「TAG-38」という名称で追跡している脅威アクティビティーグループによるインドの電力業界に属する組織のネットワークを標的とした複数の「侵入の痕跡」(IOC)を挙げている。
Microsoftによると、直近の関連アクティビティーは10月に発生していたという。また、Recorded FutureのレポートでIOCが見つかったとされているすべてのIPアドレスを調査したところ、「脆弱性を抱えたコンポーネント」とともに、「多くの組織とデバイスに影響を与えかねない、サプライチェーンに対するリスク」の証拠が見いだされたという。
Microsoftは同社ブログに、「われわれは、軽量版ウェブサーバーである『Boa』が脆弱性を抱えているコンポーネントだと判断した。Boaサーバーは、しばしばデバイスの設定/管理コンソールや、サインイン画面にアクセスするために用いられており、2005年に開発が中止されている。にもかかわらず多くのベンダーは、さまざまなIoTデバイスや一般的なソフトウェア開発キット(SDK)で同サーバーを採用し続けている。Boaウェブサーバーを管理する開発者がいないため、攻撃者はその既知の脆弱性を悪用し、ファイルから情報を収集することでネットワークに隠密裏に侵入できる状況が生み出されている」と記している。Boaはオープンソースのプロジェクトだ。
同社は「Microsoftは、Recorded Futureが公開したIOCのリストにあったIPアドレスで、同レポートの発表時にBoaサーバーが稼働していた点とともに、インターネットに接続され、Boaサーバーが稼働していたIoTデバイスを標的にした電力網への攻撃が実行されている点からそう判断している」と記している。
Boaはもはやメンテナンスされていないため、依然としてこれを利用しているデバイスやSDKは、開発が中止された時以来、既知の脆弱性を抱え込んだ状態が続いている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。