何が起こったのか
2025年春、広く導入されているマネージドファイル転送(MFT)ソリューションのゼロデイ脆弱性が、数百の組織で悪用されました。最初の攻撃ベクトルは、認証されていないSQLインジェクションを利用してリモートコード実行(RCE)を達成するものでした。これにより、脅威アクターは機密データを列挙し、ファイルを抜き出し、永続的なバックドアを確立することができました。
この悪用は当初、従来のシグネチャベースの検出を回避する異常なWebリクエストやデータベースクエリとして現れ、巧妙でした。多くのセキュリティオペレーションセンター(SOC)は、ログに最初の異常な信号が現れてから正式なインシデント対応プロセスが開始されるまでに、しばしば12時間を超えるという大幅な遅延を報告しました。この遅延は致命的であり、攻撃者に偵察とデータ窃取のための十分な時間を与えました。
標的となったのは、大手金融機関、複数の重要インフラプロバイダー、そしてフォーチュン500に名を連ねる小売コングロマリットなどでした。共通していたのは、これらの組織がパートナーや顧客との安全なデータ交換のために、この特定のMFT製品に依存していたことです。この事件は、このようなシステムに内在する信頼と、その信頼が侵害された場合の連鎖的な影響を浮き彫りにしました。
なぜこのパターンが繰り返されるのか
MFTのゼロデイ攻撃は孤立した事件ではなく、MOVEit TransferやAccellion FTAの事件を想起させます。これらの製品は、安全なデータ処理のために設計されており、多くの場合、境界で運用され、機密情報を扱い、外部エンティティとやり取りします。その普及率の高さは魅力的な標的となり、複雑なアーキテクチャがしばしば根深い脆弱性を抱えています。
組織はしばしばMFTソリューションを「設定したら忘れる」インフラとして扱い、カスタムアプリケーションや公開Webサービスと同じ厳格なセキュリティ精査を適用しません。この見落としは、ベンダーが提供するセキュリティ保証に依存していることで悪化します。ベンダーの保証は、しばしば新しい攻撃手法やゼロデイシナリオを考慮していません。セキュリティ負債は、洗練されたアクターが致命的な欠陥を発見するまで蓄積されます。
MFTの「ボトルネック」としての性質は、単一の侵害が不釣り合いな量の機密データをもたらす可能性があることも意味します。これにより、国家が関与するアクターや高度な金銭目的のグループにとって、MFTは高価値の標的となります。発見、悪用、パッチ、そして繰り返しのサイクルは、データ窃取と知的財産窃盗の経済的インセンティブによって継続します。
攻撃者のプレイブック:ステップバイステップ
攻撃者はこれらのキャンペーンを、しばしば複数のフェーズにわたって綿密に計画し、実行します。最初のフェーズには、脆弱なMFT製品を使用している標的組織を特定するための広範な偵察が含まれます。これには、公開されているShodanスキャン、OSINT、サプライチェーンマッピングなどが含まれます。
フェーズ1:初期アクセス
ゼロデイ脆弱性を利用して、攻撃者はまず認証されていない足場を確立します。この事件では、SQLインジェクションペイロードが埋め込まれた細工されたHTTPリクエストが、MFT製品のWebインターフェースの脆弱性を悪用しました。これにより、認証メカニズムを迂回して任意のコマンド実行が可能になりました。
フェーズ2:永続化と特権昇格
初期アクセスを獲得すると、攻撃者は直ちに永続化の確立に集中します。これには、Webシェル(ASPXやJSPなど)の展開、新しいユーザーアカウントの作成、既存のサービス構成の変更などが含まれます。特権昇格は通常、システム設定の誤りや既知のローカルエクスプロイトを利用して、基盤となるサーバー上で管理者アクセス権を獲得することで行われます。
フェーズ3:内部偵察とデータ窃取
昇格された特権を持つ攻撃者は、ローカルファイルシステムを列挙し、データベースを特定し、ネットワーク共有をマッピングします。彼らは、顧客記録、財務報告書、知的財産などの機密データが含まれる可能性のある場所を優先します。その後、データは圧縮、暗号化され、多くの場合、正規のアウトバウンドポート(例:443)を使用して流出し、エグレスフィルタリングを回避します。
「攻撃者は、これらのMFTシステムにどこに宝があるかを正確に知っています。彼らは単に探っているのではなく、外科的に抽出しています。」
フェーズ4:証拠隠滅
最後に、攻撃者はフォレンジック証拠を削除しようとします。ログを消去し、一時ファイルを削除し、タイムスタンプを変更します。しかし、洗練された攻撃者は、標的の検出と対応能力の遅延に賭けて、微妙な痕跡を残すことがよくあります。
防御側が見落としたこと
この広範囲にわたるMFTゼロデイイベント中、いくつかの重要な防御層が機能不全に陥ったり、不十分であったりしました。最も顕著な失敗は、多くのSOCにおけるタイムリーな信号の相関分析とトリアージの欠如でした。個々のログエントリには異常なデータベースクエリや異常なプロセス生成が示されていたかもしれませんが、これらはしばしば直ちにエスカレートされませんでした。
従来のEndpoint Detection and Response(EDR)ソリューションは存在していましたが、新しい攻撃パターンにはしばしば苦戦しました。初期のRCEは異常なプロセス実行として登録されたかもしれませんが、このゼロデイに対する文脈的な情報強化や特定の脅威インテリジェンスフィードがなければ、低深刻度または無害なノイズとして分類されることが頻繁にありました。同様に、Web Application Firewall(WAF)は、既知のシグネチャに一致しないゼロデイ攻撃の性質上、しばしば迂回されました。
MFTシステム向けに調整された堅牢な行動分析の欠如も大きなギャップでした。多くの組織は、MFTサーバーの典型的な挙動に関するベースラインを持っていなかったため、新しいIPアドレスへの異常なアウトバウンド接続や、機密ディレクトリに未知のファイルが作成されるなどの逸脱を特定することが困難でした。これは、重要インフラに対するコンテキスト認識型監視という、より広範な問題を示しています。
実践的な防御チェックリスト
- MFTシステムの隔離とセグメンテーション: MFTサーバーに対して厳格なネットワークセグメンテーションとマイクロセグメンテーションを実装します。インバウンドおよびアウトバウンドトラフィックを、必要最小限のポートと送信元/送信先IP範囲に制限します。MFTを高リスクインフラとして扱います。
- MFT固有のログ記録の強化: ファイル転送、ユーザー認証、管理アクション、システムレベルイベント(プロセス作成、ネットワーク接続)など、すべてのMFTアクティビティに対して包括的なログ記録が有効になっていることを確認します。これらのログを長期保存のために一元化されたSIEMに転送します。
- 行動異常検知の実装: 通常のMFTサーバーの挙動(CPU、メモリ、ディスクI/O、ネットワークトラフィック、プロセスアクティビティ)のベースラインを作成します。異常なアウトバウンド接続、大量ファイル操作、予期しないプロセス生成などの逸脱に対する特定の警告を作成します。
- ゼロトラスト原則の適用: MFTユーザーおよびサービスアカウントに対して最小特権を強制します。すべての管理インターフェースに多要素認証(MFA)を実装し、可能であればユーザーアクセスにも適用します。MFTの権限を定期的に確認し、監査します。
- パッチ管理と脆弱性スキャンを自動化: MFTソリューションのパッチ適用サイクルを加速させます。MFT製品とその基盤となるインフラストラクチャを specifically ターゲットとした、頻繁な認証済み脆弱性スキャンとペネトレーションテストを実施します。
- MFT固有のインシデント対応プレイブックの開発: MFT侵害シナリオに特化したプレイブックを作成し、定期的にテストします。これには、封じ込め、根絶、データ窃取評価、通信プロトコルの手順が含まれます。
現代の攻撃テストがこれをどのように発見できたか
高度な攻撃セキュリティテスト、特にレッドチームまたはパープルチーム演習は、脅威アクターが発見するずっと前にMFTゼロデイ攻撃の悪用可能性を明らかにしていたでしょう。これらのエンゲージメントは、自動化された脆弱性スキャンを超え、連鎖的なエクスプロイトや新しい攻撃ベクトルを含む、洗練された攻撃者TTPをシミュレートします。
特定の目標(例:MFTシステムからのデータ窃取)の達成に焦点を当てた成熟したレッドチームは、MFTアプリケーションの攻撃対象領域を体系的に調査したでしょう。彼らの方法論には、Webアプリケーションロジックの詳細な分析、WAFを回避するためのカスタムスクリプト、および複雑なSQLインジェクションテストが含まれ、この事件で悪用されたまさにそのRCEの欠陥を発見したでしょう。このようなテストは、組織に実際の侵害が発生する前に、監視、警告、およびインシデント対応における死角を特定し、真の防御態勢に直面するよう促します。このプロアクティブなアプローチは、信号が重要な閾値を超えたときに、事前割り当てされたプレイブックを持つ適切な担当者に自動的にルーティングされることを保証し、トリアージ時間を大幅に短縮します。
次に注目すべきこと
MFTゼロデイ攻撃のパターンは、脅威アクターがサプライチェーンの脆弱性と境界に面したアプリケーションに引き続き焦点を当てていることを示しています。他の重要な、しばしば見過ごされている企業ソフトウェアを標的とした、より洗練された攻撃が増加すると予想されます。これには、企業リソース計画(ERP)システム、顧客関係管理(CRM)プラットフォーム、および機密データを扱い、外部エンティティとやり取りするその他のビジネスに不可欠なアプリケーションが含まれます。
クラウドネイティブMFTソリューションやSaaSプラットフォームも、ますます魅力的な標的となるでしょう。これらはしばしば共有責任モデルを誇っていますが、設定の誤りやAPIの脆弱性は、依然として重大な侵害につながる可能性があります。業界は、受動的なパッチ適用から、セキュリティコントロールのプロアクティブで継続的な検証へと移行し、すべての企業ソフトウェアが潜在的な攻撃対象領域であることを認識する必要があります。
さらに、AI駆動型攻撃ツールの進化は、このようなゼロデイ攻撃の発見と悪用を加速させる可能性があります。防御側は、追いつくために異常検知と脅威ハンティングにAIを活用する必要があります。この分野における攻撃と防御の能力競争は激化しており、CISOとセキュリティエンジニアの両方に絶え間ない警戒と適応が求められています。
