2021年セキュリティニュース振り返り
2021年も残りわずかとなりましたが、今年も多くのセキュリティのニュースがありました。
ランサムウェアによる被害やWindowsの脆弱性の悪用などの去年もよく目にしたニュースや、Dependency Confusion (依存関係かく乱攻撃)やCodecov社のセキュリティインシデント、大統領令など今年に新たに大きく話題となったものも多くあります。
また、今月にもApache Log4jの脆弱性(CVE-2021-44228)が公開され、世界中の多くのサービスで使われていることもあり、大きく話題となりました。
今回は、今年気になったセキュリティニュースを月毎にピックアップして紹介し、さいごに今年の振り返りをしたいと思います。
月 IPA 情報セキュリティ 10大脅威 2021公開
毎年IPAより発行されている「情報セキュリティ 10大脅威」が公開されました。
https://www.ipa.go.jp/security/vuln/10threats2021.html
今回大きな変更点としては「テレワーク等のニューノーマルな働き方を狙った攻撃」が新しく3位にランクされたことです。
コロナ禍の影響による急激な環境の変化がセキュリティに関しても大きく出ています。
それ以外にも、昨年のブルートフォース攻擊・リバースブルートフォース攻撃による不正アクセス事件が相次いだ影響などで「インターネット上のサービスへの不正ログイン」が16位から8位に上昇しました。
Apache Struts2の脆弱性やWindows ServerのZerologonの脆弱性などの影響が大きい脆弱性情報は公開されると同時に、攻撃コードが流通し、その脆弱性を悪用する行動が行われる傾向にあることを受けて「脆弱性対策情報の公開に伴う悪用増加」が14位から10位に上昇しています。
また1月には、Linuxのsudoの権限昇格の脆弱性も公開されました。
https://www.jpcert.or.jp/at/2021/at210005.html
この脆弱性も10大脅威での指摘にあるように、公開とほぼ同時に脆弱性の詳細情報や攻撃コードが流通し、脆弱性が悪用されるまでの時間が短くなっていることがわかります。
2月 Dependency Confusion (依存関係かく乱攻撃)
2月は、Dependency Confusion (依存関係かく乱攻撃)と呼ばれる新しいタイプの攻撃がセキュリティ研究者によって公開され話題となりました。
https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610
この攻撃は、ソフトウェア内部で使われているプライベートパッケージをマルウェアを含む同じ名前の公開パッケージに置き換えさせることでハッキングすることができる、という手法になっています。
この手法を使って、PayPal、Apple、Microsoftなどの企業で脆弱性を発見し、各企業から3万ドル以上もの報奨金を受け取ったと言われています。
この新しいタイプの攻撃方法が発見されたことをきっかけに、ソフトウェアパッケージやそのエコシステムを狙った攻撃がその後注目されるようになりました。
3月 PHP リポジトリにバックドアが仕掛けられる
3月にはPHPのリポジトリにバックドアが仕掛けられるという事件がありました。
「Fix typo (スペルミス修正)」といったコミットメッセージでバックドアの混入を隠すような形でリポジトリに追加されました。
すぐにコードレビューの中で発見し対処されましたが、Webサイトの多くにPHPが利用されていることからも大きく話題になりました。
https://news-web.php.net/php.internals/113838
https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d
当初はPHPのgitサーバーに侵入されたと思われていましたが、その後の調査ではmaster.php.netのユーザーデータベースから情報漏洩したことが原因ではないかと言われています。
今回のインシデントをきっかけにPHPはgitサーバーからGitHubに移行をすることになりました。
https://www.mail-archive.com/internals@lists.php.net/msg106166.html
また3月は、Microsoft Exchange ServerでProxyLogonと呼ばれる深刻な脆弱性も公開されました。
4月 Codecov社 セキュリティインシデント
4月には、Codecov社でbashアップローダースクリプトに不正アクセスされ、スクリプトが改ざんされるというセキュリティインシデントがありました。
https://about.codecov.io/security-update/
Codecovを継続的インテグレーション(CI)環境に組み込んで利用している場合に保存されている機微情報が流出することにも繋がりました。
この影響でCodecovを利用している日本の企業にも影響があり、こちらも大きく話題となりました。
その他にも4月には、経産省より「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」が発行されました。
https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
この事例集から、企業がどのようにOSS(オープンソースソフトウェア)を利用し、セキュリティやライセンス周りの管理を行っているのかを知ることができます。
我々Visionalグループの事例も掲載されています。
5月 サイバーセキュリティを強化する大統領令に署名
5月は、バイデン大統領がサイバーセキュリティを強化するための大統領令に署名を行ったことが話題になりました。
2020年12月に起こったSolarWindsの問題や、3月にあったMicrosoft Exchange ServerのProxyLogonの脆弱性、5月に発生した石油移送パイプラインのColonial Pipelineのランサムウェア被害などを受けて、サイバーセキュリティを強化するための大統領令に署名が行われました。
ソフトウェアサプライチェーンの強化についても書かれており、SBOM(Software Bill of Materials)と呼ばれるソフトウェアの部品表の公開などについて言及されています。
6月 Python(PyPI) マルウェアを含むパッケージが見つかる
6月には、タイポスクワッティングと呼ばれる入力ミスを狙ったPython(PyPI)のマルウェアを含むパッケージが公開されていることがニュースとなりました。
https://blog.sonatype.com/sonatype-catches-new-pypi-cryptomining-malware-via-automated-detection
これは、Pythonでグラフ描画でよく使われる「matplotlib」によく似た「mplatlib」「matplatlib-plus」といったパッケージ名のものを公開し、入力ミスなどで誤って利用するユーザーを狙うというものです。
このマルウェアを含むパッケージを取り込んでしまうとクリプトジャッキングと呼ばれる無断でマシンのリソースを利用した暗号資産の採掘が行われてしまいます。
このニュースはあまり話題にはなりませんでしが、6月は大きなセキュリティニュースがなかったためこちらをピックアップしました。
7月 Kaseya VSAの利用者へのランサムウェア攻撃
7月には、Kaseya社のリモート監視サービスのKaseya VSAに脆弱性があり、利用者がランサムウェアの被害を受ける事件がありました。
https://www.kaseya.com/potential-attack-on-kaseya-vsa/
Kaseya VSAを利用する顧客の多くはマネージドサービスプロバイダー(MSP)事業者で、そのMSP事業者を利用する顧客にも影響が拡大しました。
この事件でもサプライチェーンにおけるセキュリティの問題が浮き彫りになりました。
7月はその他、PrintNightmareと呼ばれるWindows印刷スプーラーのリモートコード実行(RCE)の脆弱性や、Sequoiaと呼ばれる1Gバイトを超える長いパス長を作成することで発生するLinuxファイルシステムの権限昇格の脆弱性が話題となりました。
8月 PrintNightmareを利用したランサムウェア攻撃
8月には、7月に公開されたWindows印刷スプーラーのリモートコード実行(RCE)の脆弱性PrintNightmareを利用したランサムウェア攻撃の活動がニュースとなりました。
影響の大きい脆弱性が発見されるとその脆弱性をランサムウェアの攻撃に利用する活動も活発となります。
同月には、アクセンチュア社がランサムウェアの被害を受けたニュースも話題となりました。
1月のIPA 情報セキュリティ 10大脅威でも1位は「ランサムウェアによる被害」となっており、ランサムウェアの影響は依然として収まりません。
9月 2021年版 OWASP Top 10 公開
9月には、Webアプリケーションのセキュリティの基準として多くの組織で利用されているOWASP Top 10の2021年版が公開されました。
2021年版 OWASP Top 10 概要と2017との比較
前回の2017年版から、近年のWebアプリにおけるセキュリティの動向の変化に合わせ、3つの新しいカテゴリー、「安全でない設計」、「ソフトウェアとデータの整合の不備」、「サーバーサイドリクエストフォージェリ (SSRF)」が追加されました。
常に1位であったSQLインジェクション、XSSなどの脆弱性を含む「インジェクション」のカテゴリーが良いフレームワークを採用することなどで大きく緩和できることから3位になり、開発環境の変化によるセキュリティへの影響も感じとることができます。
また、設計に関わるカテゴリー「安全でない設計」が4位に追加され、これまでとかなり異なるカテゴリーであることや、Secure by Design、シフトレフトというものを意識したものが追加されたことからも大きく話題となりました。
10月 Apache HTTP Serverの脆弱性
10月はApache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)が大きく話題となりました。
https://www.jpcert.or.jp/at/2021/at210043.html
この脆弱性はパストラバーサルの脆弱性ですが、特定の条件下では任意のコード実行に繋がる恐れがあり、攻撃コードも公開され、脆弱性を悪用する攻撃活動も観測されました。
すぐに修正バージョンが公開されましたが、修正が不十分だったため、再び脆弱性(CVE-2021-42013)が見つかり、修正が行われることになりました。
大きく話題になりましたが、影響を受けるバージョンが2.4.49、2.4.50と限定的だったため実影響は少なかったようです。
11月 Python(PyPI) マルウェアを含むパッケージがまた見つかる
11月は、6月に続き、Python(PyPI) マルウェアを含むパッケージが見つかりました。
6月のニュースではタイポスクワッティングによる悪意のあるパッケージでしたが、今回のものは2月のニュースにもあったDependency Confusion(依存関係かく乱攻撃)を狙った悪意のあるパッケージが見つかりました。
https://jfrog.com/blog/python-malware-imitates-signed-pypi-traffic-in-novel-exfiltration-technique/
今回発見されたパッケージには、Discordのトークンやクレジットカード情報などを取得しようとするものや、サーバーを乗っ取るような行動をとるものが報告されています。
加えて、ネットワークベースの検知を回避する技術も使われ、より高度化されています。
その他にも、Windows Installerの脆弱性(CVE-2021-41379)への修正が不十分だったため、権限昇格ができる脆弱性が新たに発見され、悪用するための攻撃コード(PoC)も公開される、というニュースもありました。
このゼロデイ脆弱性を悪用するマルウェアも既に発見されており、こちらのニュースも11月末に公開されたものですが話題となっています。
12月 Apache Log4jにリモートコード実行の脆弱性(CVE-2021-44228)が見つかる
12月には今年最も世の中に影響を与えたと思われるApache Log4jのリモートコード実行の脆弱性(CVE-2021-44228)が公開されました。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Apache Log4jは、Apache StrutsやApache Solrといった世の中で広く使われているOSSやElasticSearch、Minecraftにも使われており、世界中の多くのサービスに影響が出ていると言われているます。
加えて、Apache Log4jはログ出力のライブラリであるため、システムの内部で知らず知らずのうちに利用されていることも多く、自分たちが実際にApache Log4jを(間接的にも)利用しているのか、この脆弱性の影響を受けるのかの判断が難しいこともこの脆弱性の深刻さを増す要因となっていると思われます。
この脆弱性は「Log4Shell」とも呼ばれ、過去に大きく話題となった「Heartbleed」「Shellshock」と並ぶ深刻な脆弱性と評価されています。
他の深刻な脆弱性と同様に、脆弱性が公開されるとすぐにPoCが公開され、大量の攻撃活動も観測されたと報告されています。
すでにpiyokangoさんがまとめ記事を公開していますので、こちらの記事もとても参考になります。
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた
また、このApache Log4jの脆弱性を利用して脆弱性の修正を行う「ワクチン」が登場したことも話題となりました。
Cybereason/Logout4Shell: Use Log4Shell vulnerability to vaccinate a victim server against Log4Shell
脆弱性管理クラウド yamory は、 Log4j の本脆弱性の対策を行う上で便利な機能が揃っております。 Log4j 脆弱性の対策を進めている方は是非こちらの記事もご参考ください。
Apache Log4j の脆弱性対策なら yamory(Log4Shell、CVE-2021-44228の対策)
さいごに
今年も多くのセキュリティのニュースがありましたが、今年は特に「サプライチェーンセキュリティ」を意識させられるニュースが多くあったように感じます。
1月のIPA 情報セキュリティ 10大脅威、9月の2021年版 OWASP Top 10からもセキュリティのトレンドの変化を感じることができます。
これまでセキュリティが重要視されてきた部分は強固になってきたため、攻撃者側もその部分に関しては攻撃しにくくなっています。
しかし、2月のDependency Confusionの例のように、これまであまり意識されていなった部分に関してはApple、Microsoftといった企業であってもまだ対策が整っておらず、影響を受けることがあります。
攻撃者の視点で考えた場合にも、サプライチェーンの中でセキュリティのまだ弱い部分を突いた攻撃を行う方が効率が良いため狙う可能性が高くなると考えられます。
4月のCodecov社のセキュリティインシデントによる利用者の被害、7月のKaseya VSAのランサムウェア被害、6月・11月のマルウェアを含むパッケージによる影響など、これらのニュースからも「サプライチェーンセキュリティ」を高めるためにさまざまな対策が必要だと感じます。
すでに大きな被害が出ている米国では、5月にサイバーセキュリティを強化する大統領令に署名し、サプライチェーンセキュリティの強化にも取り組み、その一つとしてSBOMといった自分たちが利用しているソフトウェアを把握することを進めています。
サプライチェーンセキュリティを確保するための一歩として、SBOMのような利用しているソフトウェアの把握・管理していくことが重要だと思います。
SBOMのようなに利用しているソフトウェアの把握・管理を正しく行うことで、12月のApache Log4jの脆弱性(Log4Shell)が公開された場合でも迅速に影響の特定、対応を取ることができます。
我々、Visionalグループでは、yamoryを導入していたため、利用しているソフトウェアのより深い部分で利用されているApache Log4jも特定することができ、グループ全体で迅速な対応を行うことができました。
また、Apache Log4jのようなソフトウェアだけでなく、利用しているサービスからの影響も最小限にするために、把握・管理に加えて、事前にサービスのセキュリティチェックをする、セキュリティを考慮した利用方法を検討するなども重要になってくると思います。
来年の1月に2022年版のIPA 情報セキュリティ 10大脅威が公開されると思いますので、今年のこれらのニュースを踏まえてどのような脅威が取り上げられるのか注目です。
yamoryでは、脆弱性管理サービスの無料トライアルを提供しています。
また、エンジニア・セキュリティエンジニアを募集しております。こちらより応募お待ちしております。
