今週、IoT セキュリティ・カメラ・プロバイダーのVerkadaがサイバー攻撃の標的になり、犯人は15万台の監視カメラのライブ映像に自由にアクセスできるようにした。病院、刑務所、製造施設内の映像を見たときの衝撃は、IoT のデバイスを合法的なビジネス目的で活用することのリスクを思い起こさせた。
この攻撃の被害者のほとんどは、インターネット上で施設の画像が共有されて初めてそのことを知った。今日、このような攻撃が発生するとすぐに警告を発し、その影響を食い止め、軽減するのに役立つネットワーク監視技術が利用可能になっているだけに、これは残念なことだ。
この攻撃で何が起こったのか、そして防衛側はどのようにしてその損害を防ぐことができたのかを見てみよう。
ヴェルカーダ社防犯カメラ侵入事件-何が起きたか
Verkadaの攻撃が公表された後、ベンダーから提供された技術的な詳細によると、攻撃者は同社のサポートチームが顧客カメラの保守作業を実施するために使用するインターネットに公開されたサーバーにアクセスした。このシステム内で、侵入者は特権アカウントの認証情報を取得し、最終的に数千の顧客サイトに配備された監視カメラへのアクセスを許可した。
ビデオ・ストリームの取得に加え、攻撃者は侵入したカメラ上でシェル・コマンドを実行することができた。Verkadaのすべての顧客が完璧に保護されたゼロ・トラスト環境でデバイスを導入したとは考えにくいため、これは特に憂慮すべきことである。
ベンダーは、内部ツールを通じて発行されたシェル・コマンドはすべてログに記録されていると宣言しているが、侵入されたエンド・ユーザーから見れば、この情報だけでは状況を調査するには不十分かもしれない。特定の計画を念頭に置いた高度な悪意ある行為者が何を考え出すかを予測することは常に困難である。
さらに、レッドチームの経験がある人なら誰でも、組織内の唯一のエントリー・ポイントがIoT デバイス上のシェルで表されるエンゲージメントを準備することはよくあることだ。このようなシナリオで一般的なオプションは、サードパーティのウェブサイトに横の移動に必要なツールをアップロードし、特定のニーズに基づいて、IoT デバイスからツールをダウンロードして実行することである。
ここでもうひとつ重要なのは、タイミングである。システムが最初の証拠を検出したらすぐに、インシデントに素早く反応することが、これまで以上に重要になってきている。私たちは、脅威行為者が目的を達成しさえすれば、後で検知されることなど気にしないような攻撃をいくつも見てきた。
IoT デバイスの行動ベースの異常検出が鍵
Nozomi Networks 研究所には、多くのベンダーのデバイスがある。これらは様々な分野で使用され、多様なプロトコルを使用して通信しています。このような多様な物理デバイスのネットワークにアクセスすることで、個々のプロトコルとその動作に関する製品の理解を深めることができます。これらのデバイスの一部は、潜在的に敵対的な挙動を示す可能性があることを前提に、ネットワーク内で注意深くそれらを隔離する対策を講じると同時に、研究のための現実的なテストベッドを提供しています。
隔離されたIoT ネットワークの一部であるデバイスの1つがVerkada D40カメラです。以下に示すように、Verkadaカメラは複数の異なる外部ホストと相互作用し、定期的なファームウェア更新、ビデオ・フィードへのリモートアクセス、メンテナンス操作などの機能を提供しています。
IoT デバイスの動作は不透明であることが多いが、異常検知でネットワーク動作を監視することで、異常な動作を浮き彫りにするアラートが必要とされている。
例えばこの場合、ネットワーク学習システムは、このデバイスでは HTTPS 経由での api api.control.verkada.com と index.control.verkada.com との通信が期待されていることを理解し、それを動作のベースラインとして使用する。もし攻撃者がベンダーのインターフェイスを通してデバイス上で実行されているシェルにリモ ートアクセスした場合、彼らが取る行動は確立されたベースラインから逸脱し、アラートとしてフラグが立 つ。
カメラを発射台としてターゲット・ネットワークをさらに侵害することを目標に、攻撃者はターゲットをよりよく理解するために偵察を行う必要があります。これには、ローカル・ネットワーク内のホストに対するポート・スキャンやクレデンシャルの推測などの活動が含まれる。どちらもデバイスの確立された基本動作からの明らかな逸脱であり、タイムリーな異常アラートを生成する。
IoT デバイスの場合、異常アラートを本当に注意が必要なインシデントに正確にピンポイン トするものに減らすためには、モニタリング・ソリューションが定期的にデバイス・プロ ファイル更新を受け取ることが重要である。例えば、Nozomi Networks ソリューションには、正確な異常アラートを保証するAsset Intelligence サービスが含まれています。
IoT デバイスを導入する前にネットワーク監視を導入する。
ネットワーク・モニタリング・テクノロジーを使えば、感染後の悪質な活動を検出するのはかなり簡単だ。ゼロ・トラスト・モデルの精神に則り、今日はVerkadaについて議論しているが、明日は新しいベンダーであり、昨日は別の攻撃であったことを認識することが重要である。独立した信頼できるサイバーセキュリティモニタリング・テクノロジーをすでに導入しておくことの重要性は、テクノロジーの存在だけでもたらされるリスクを管理する上で極めて重要である。
インシデントが発生する前に監視体制を整えておくことが、完全に復旧できるかどうかの分かれ目となる。攻撃者の足取りを追跡することなく、感染したデバイスに単にパッチを適用することが対応策である場合、おそらく何度も修復を余儀なくされるだろう。オペレータはおそらく、企業内の別の場所から、再び悪意のあるコードを駆除し、除去しようとしなければならないだろう。
次のことを知ることは、最初のアクターベクトルを特定することと同じくらい重要である:
- 偵察活動-攻撃者が探したもの
- 横方向への移動 - どこに移動したか
- 持続性 - 他のシステムに侵入した可能性
- 流出-どのようなデータが漏洩またはダウンロードされたか
この種の記録がないことは、復旧作業に深刻な影響を与える。
ゼロ・トラスト・モデルでは、感染の兆候を監視するサイバーセキュリティモニタリング・システムを使用することで、Verkadaの被害者の一部への影響を軽減できた可能性がある。例えば、公に知られているある被害者は、Twitterの投稿で感染が明らかになった後に初めて感染に気づいた。感染前に挙動監視と異常検知が行われていれば、同社のサイバーセキュリティ・チームは、感染したデバイスからの最初の接続試行時に警告を受けただろう。そうすれば、攻撃者が被害を拡大する前に対応する機会を得られただろう。
IoT 防犯カメラ侵入事件からわかるネットワーク監視の必要性
Verkadaのセキュリティ・カメラ・システムに対する今回の攻撃は、洗練された脅威行為者や狡猾な攻撃テクニックが関与したものではない。好奇心旺盛なグループがオープン・インターネット上で特権的な認証情報を見つけた結果だった。このようなセキュリティ衛生の欠如は、今日使用され、購入されている多種多様なIoT 。
私たちは、サイバー耐性を強化することによって、避けられない侵害に備えることを強く勧めます。
Nozomi Networks OT /IoT ネットワーク・モニタリング およびセキュリティソリューションの詳細については、弊社までお問い合わせください。
参考文献
「最新のセキュリティ・アップデート」、Verkada、2021年3月10日。
