EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Imperva、AccellionへのSQLインジェクション攻撃の分析結果を公開

  2021/03/24 15:19

 米現地時間3月9日、Impervaは、2020年末に起きたAccellionに対する2段階SQLインジェクション攻撃に関する分析結果を公開した。

攻撃の時系列

 2020年12月、攻撃者はAccellionのファイル転送アプライアンス(FTA)テクノロジーに存在していた単一のゼロデイ脆弱性を悪用し、顧客データ、クレジットカード情報、生年月日やメールアドレスなどの個人情報を盗み、脅迫に活用。不正アクセス後の分析によると、攻撃者はコンテンツ・ファイアウォール内でSQLインジェクション(CVE-2021-27101)とOSコマンド実行(CVE-2021-27104)の脆弱性を使用している。また、ファイル「document_root.html」に対するSQLインジェクション脆弱性を悪用し、AccellionのFTAデータベースから「W」鍵を取得していたという。

 Accellionは問題発覚から72時間以内に、脆弱性の軽減パッチを発行。しかし、攻撃者はその後侵入ポイントを変更し、サーバーサイド・リクエスト・フォージェリ(SSRF)(CVE-2021-27103)とOSコマンド実行(CVE-2021-27102)を使った新たな手法を利用した。攻撃者はまず、コンテンツ・ファイアウォール内の脆弱性を標的とし、次に顧客データが格納されたデータベースを標的にするという2段階のアプローチを展開している。

Accellionに対する攻撃手法は、今後も拡大する見通し

 昨今のサイバー攻撃は、資金が潤沢にあり、多くの場合、国家主導で行われているという。そのため、攻撃者は標的となる企業のソフトウェアの仕組みを学ぶためのリソースをもっている。また、攻撃者は自らの能力を向上させ、より高度な攻撃を仕掛けるため、常にセキュリティや脆弱性のトレンドを把握するよう努めているとしている。そしてROI(投資対効果)を最大化するため、攻撃者はAccellionのファイル転送アプライアンスのような、多数の顧客に広く利用・信頼されている企業を標的に選ぶという。

 2020年のSolarWindsへの不正アクセス事件と同様に、攻撃者は脆弱性を悪用して標的のシステムに不正アクセス。さらにクリーンアップ・ルーチンを実行することで、活動の証拠を隠滅している。Accellionへの攻撃では、標的のソフトウェア・リバースエンジニアリングを通じて、コンテンツ・ファイアウォールへの不正アクセス手段が特定。Accellionがパスを閉鎖した時には、攻撃者は既にデータベース自体への攻撃を計画していたという。セキュアなファイル転送を専門とする企業を攻撃するのは大胆な一方で、Accellionの顧客企業は、まさに攻撃者の渇望するようなデータを取り扱っている可能性が非常に高くなっている。攻撃者は人質に取ったデータを用いて脅迫を行っており、影響は世界中で今後何ヵ月続くと予想されている。

最適なデータセキュリティ体制を構築し、新種の攻撃を阻止

 Accellionへの不正アクセスは、SQLインジェクション攻撃から始まっている。これは、データ層での脅威分析と検知が必要であることを明示しているとしている。すべてのアプリケーションに共通しているものとしてデータリポジトリ層が挙げられるという。いかなるアプリケーションやシステムでも、必ずどこかにデータを保存しており、大半はデータベースを使用している。また、モダンなアーキテクチャ環境では、技術的にはDBMSではなくても、データベースに分類すべき要素を多数取り扱っているものも多く存在しているといい、ほとんどの攻撃は、データ層に注目するだけで発見できるという。

 SQLインジェクション攻撃の持続性、一貫性、頻度を考えると、データ層のセキュリティ保護に対する企業の関心は、いまだ不十分。機械学習モデルを駆使し、不適切・高リスク・悪意のあるデータアクセスの行動分析や自動検知を行い、データレベルで監視することで、SolarWindsのケースやAccellionへの不正アクセスのような攻撃は事前に特定できるとしている。

 さらに、Accellionへの不正アクセスから得られる教訓として、企業はデータに至るすべてのパスを保護する必要があるという。コンテンツ・ファイアウォールの保護に失敗した場合、内部保護策を導入し、攻撃を阻止する必要がある。Accellionのケースでは、最初の不正アクセス発生後、修正された部分は一部に限定されていたとし、OSコマンドが実行できるようになるまで、攻撃で変更されたのは侵入ポイントだけだったという。

 そこから先の攻撃についても、最初のパターンを踏襲しており、攻撃者は別の第一歩を見つけるだけだったとしている。このことから、企業にとって重要なのは、すべてのアクセスポイントのセキュリティを、当然のものとして保護することだという。

【関連記事】
SNSでのつぶやきと攻撃に相関関係【Imperva 脆弱性に関する調査】
ネットワークバリューコンポネンツ、Imperva社のクラウドWAF「Incapsula」に対する運用支援サービスを提供開始
米Imperva、ビッグデータ対応を強化したデータセキュリティソリューションの最新版

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5