サイバーセキュリティ企業のFireEyeが「一流の攻撃能力を備えた国」にハッキングされる

アメリカ最大のサイバーセキュリティ企業の1つであるFireEyeが、「一流の攻撃能力を持つ国の政府組織」によるものと思われるハッキングによって、顧客のサイバーセキュリティをテストするために使っているハッキング用の内部ツールを盗まれたことを明らかにしました。

FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

U.S. Cyber Firm FireEye Says It Was Breached by Nation-State Hackers - WSJ
https://www.wsj.com/articles/u-s-cyber-firm-fireeye-says-it-was-breached-by-nation-state-hackers-11607461408

One of The Biggest Cybersecurity Companies In The World Just Got Hacked
https://www.vice.com/en/article/bvxv4a/fireeye-hacked-steal-hacking-tools

攻撃によって盗まれたのは、FireEyeが顧客のセキュリティシステムを診断するためのツールで、さまざまなサイバー攻撃の動作を模倣できる「レッドチーム評価ツール」です。FireEyeは、攻撃者がなぜレッドチーム評価ツールを盗み出したのかは不明としており、ツールを使用するつもりなのか、それとも公開するつもりなのかはわからないと述べています。

レッドチーム評価ツールの盗難による潜在的な影響を最小限に抑えるため、FireEyeはレッドチーム評価ツールの使用を検出あるいはブロックできる対策をGitHubで公開しました。また、サイバー攻撃の調査にはFBIとMicrosoftが協力を表明しています。

GitHub - fireeye/red_team_tool_countermeasures
https://github.com/fireeye/red_team_tool_countermeasures

FireEyesのケビン・マンディアCEOは「今回の事例は、私たちが長年にわたって対応してきた何万もの事例とは異なります。攻撃者はFireEyeを標的として、私たちやパートナーが見たことないような新しい技術を組み合わせて攻撃を行いました」と報告しました。

また、攻撃者が「特定の政府の顧客」に関する情報を探した形跡も判明しました。攻撃者はFireEyeの内部システムの一部へのアクセスに成功していたそうですが、インシデント対応やコンサルティング契約からの顧客情報やメタデータを保存するプライマリシステムからデータを盗みだした痕跡はなかったそうです。

マンディアCEOは「私の25年にわたるサイバーセキュリティの経験に基づき、今回の攻撃は一流の攻撃能力を持つ国による攻撃だと結論づけました」と述べています。

IT系ニュースメディアのMotherboardは、今回のFireEyeが受けた被害には、過去にNSAのハッキング攻撃ツールが盗難されたケースといくつかの類似点があると指摘しています。NSAのハッキングツールを盗み出したクラッキング集団のShadow Brokersは、2017年にWindowsハッキングツールのソースコードを一斉に公開。2017年から世界中で被害が報告されているランサムウェア「WannaCry」は、このShadow Brokersが公開したコードを利用していることが明らかになっています。

NSAが他国のハッカーを追跡するために開発した数々のハッキングツールの存在が明らかに - GIGAZINE

なお、NSAのハッキングツールはゼロデイ脆弱性を突く仕様となっていますが、FireEyeによればレッドチーム評価ツールはゼロデイ脆弱性を突くものではないとしています。