Operation Auroraのターゲットはソースコードリポジトリーと判明

2010/06/18

Operation Auroraは現在も引き続き、セキュリティ業界内外で話題になっており、グーグル以外にも標的となった企業は増え続け、多くの企業の貴重な知的財産がサイバー攻撃のターゲットとなっています。同時にOperation Auroraは、正確にターゲットを絞ったうえで、そのターゲットに合わせて手口を巧妙に練り上げるという特徴があり、企業も新手の攻撃に備えなければならないという意味で、サイバーセキュリティにおける重大な転換点ということができます。

Operation Auroraについては、攻撃者がどのように企業の知的財産を狙ったのかについて議論が交わされており、この度マカフィーの調査により、攻撃者がソースコードを狙っていること、特に企業にあるソースコードの構成管理システム(SCM)として知られるソースコードリポジトリーをターゲットにしていることが新たに判明しました。

今回の調査結果に対し、マカフィー社 CTO兼エグゼクティブバイスプレジデントであるジョージ・カーツ(George Kurtz)は、次のように述べています。

「いくつかの事例では、ターゲット企業のSCMにアクセスするため、攻撃者が精密に照準を合わせた攻撃を仕掛けていたことが分かりました。SCMはソフトウェアエンジニアがプロジェクトを管理するために使用されます。また、すべての技術系企業の貴重な資産であるソースコードを格納するために使用されています。

攻撃を分析した結果、最終的にターゲット企業のSCMユーザーのシステムを乗っ取るため、侵入者はさまざまな手段を講じていたことが判明しました。つまり、攻撃者がSCMシステムにアクセスできれば、ソースコードを抜き取り、その結果、コードを改変、追加できるということです。

調査を続ける中、SCMに適切なセキュリティ対策が施されていないことが多いことが判明しました。多くの企業は、財務システムなど、ミッションクリティカルなシステムには厳重なセキュリティ対策を講じていますが、知的財産のリポジトリーは広範囲のアクセスが可能な状態になっています。たとえゲートウェイ上のセキュリティ対策がしっかりしている企業でも、侵入しさえすれば、SCMに容易にアクセスできます。

もともと、SCMの実装は安全ではありません。マカフィーは、Operation Auroraがどのようにソースコードを含む知的財産へのアクセス権限を持つ人たちをターゲットにしていたのかを知るため、多くの攻撃で見られたPerforceと呼ばれる一般的なSCMシステムを調査しました。今後、マカフィーでは他のアプリケーションの検証も実施していく予定です。

Operation Auroraがソースコードリポジトリーをターゲットにしたということは、サイバー犯罪者にとって知的財産は金銭よりもずっと貴重であり、企業は適切なセキュリティ対策を施す必要があるということです。企業は財務システムと同程度のセキュリティで、ソースコードも守っていかなければなりません。」

なおマカフィーでは、Operation Auroraをはじめとする、潜伏型の手法を用いた複雑な標的型攻撃から企業を守るため、Operation Auroraについて詳しく考察したレポート「重要な資産の保護:Internet Explorerの脆弱性を利用した攻撃 「Operation Aurora」から得た教訓」を発行しています。

レポート:重要資産の保護:Internet Explorerの脆弱性を利用した攻撃 「Operation Aurora」から得た教訓 マカフィーのセキュリティ研究レポート
重要な資産の保護 :Internet Explorerの脆弱性を利用した攻撃 「Operation Aurora」から得た教訓

Operation Auroraによって明らかになったように、APT(Advanced Persistent Threat)と呼ばれる高度でしつこい脅威は、ますます一般的な攻撃の手法となってきています。これは、権限があるシステムをターゲットとして脆弱性を利用して侵入し、目的を達成するまで攻撃をしかけ、アクセス権を奪取・保持し続ける複雑な標的型攻撃です。Operation Auroraは、ターゲットとなる企業を設定し、セキュリティ上の弱点を悪用してアクセスし、貴重な知的財産を詐取するという、前述したAPTの手法が使用されていました。
本書では、Operation Auroraについて詳しく説明し、Operation Auroraから得た教訓および将来に渡ってこのような攻撃を防ぐ方法についてご紹介します。ダウンロードはこちらから。