JPCERT コーディネーションセンター(JPCERT/CC)は6月25日、「Living off the Land」戦術を用いる長期間、断続的なサイバー攻撃への注意を呼び掛けた。対策が難しく、短期的、中長期的な対処が肝心だとしている。
Living off the landは、サイバー攻撃者/攻撃組織がアクセス先のシステムに存在するリソースを流用して不正な活動を行う戦術。2023年5月に米Microsoftが、中国を背景に持つされるサイバー攻撃組織「Volt Typhoon」が重要インフラ組織などを標的にした攻撃活動を指摘し、Volt TyphoonがLiving off the landを用いたとされる。
JPCERT/CCは、2023年から日本を狙う同様の攻撃活動を警戒しているとし、現時点で攻撃活動がVolt Typhoonのみか、Living off the land戦術を使う別の組織も存在するのかは不明だとする。また、国内外のセキュリティ機関の情報を踏まえて、Living off the Land戦術の目的が再侵入のための認証情報の窃取だと考えられつつ、最近ではランサムウェア攻組織も用いているとし、国内の組織は、特定の攻撃者や攻撃組織に限らないさまざまな脅威に対策する必要がある。
なお、Volt Typhoonを含む関連性が疑われる攻撃活動では、以下の理由から侵害の有無などの調査が難しく、それを踏まえた短期的、中長期的な対処が求められるという。
侵害有無調査が難しい理由
上述のLiving off the Land戦術の主な目的が、本格的な侵入活動に向けた認証情報の窃取と見られるため、長期間にわたる潜伏や情報収集のために固有のマルウェアをバックドアとして長期間感染させ続けるという戦術はあまり見られていないという。認証情報の窃取では、以前に「Active Directory」のデータベースファイル(NTDSファイル)の取得による大量の認証情報の窃取が発生した。ただ、Active Directoryの各種ログは、組織の規模が多いほどに長期間のログ保存が難しく、仮に侵害されていたとしても当時のログが残されていないことが多いという。
また、以前のVolt Typhoonの攻撃では、初期侵入の経路にSSL-VPN製品の脆弱(ぜいじゃく)性を悪用が多く行われたが、こうした製品では各種のログを別システムに保存していないことが多く、仮に侵害されていたとしても当時のログが残されていないことが多いとしている。さらに、NTDSファイルの窃取がインターネットに面したアプライアンス経由であるなどのケースが確認されているものの、攻撃者や攻撃組織が侵害範囲を広げる(ラテラルムーブメント)ことは少なく、侵害の痕跡を調査できる範囲が少ないという。
こうしたことを踏まえてJPCERT/CCは、短期的と中長期的な対処策を示す。
短期的な対処では(1)ドメインコントローラーでのログなどの調査、(2)ウェブサーバーやネットワーク機器などへの「Webshell」の設置有無の調査、(3)リバースプロキシーツールの調査、(4)SSL-VPN機器などにおけるログ調査や管理者権限アカウントの調査――を挙げている。
また、中長期的な対処では(1)攻撃の侵入経路になり得るインターネット接続されたSSL-VPNアプライアンスなどの設定や運用の点検、(2)Active Directoryの各種ログ保存設定の見直しと侵害兆候に関するアラート設定などの導入、(3)管理者権限の棚卸し――の3つを挙げている。