Fire Eye のレッドチームツールが盗まれた・・・

こんにちは、丸山満彦です。

Fire Eyeのレッドチームツールが盗まれたとFire Eyeのブログで書いていますね。。。

● Fire Eye Blog - Threat Research

・2020.12.08 Unauthorized Access of FireEye Red Team Tools

 

Overview A highly sophisticated state-sponsored adversary stole FireEye Red Team tools. Because we believe that an adversary possesses these tools, and we do not know whether the attacker intends to use the stolen tools themselves or publicly disclose them, FireEye is releasing hundreds of countermeasures with this blog post to enable the broader security community to protect themselves against these tools. We have incorporated the countermeasures in our FireEye products—and shared these countermeasures with partners, government agencies—to significantly limit the ability of the bad actor to exploit the Red Team tools. You can find a list of the countermeasures on the FireEye GitHub repository found HERE.

概要 国の支援を受けた高度に洗練された敵対者が、FireEye Red Teamのツールを盗用しました。私たちは、敵対者がこれらのツールを保有していると考えており、攻撃者が盗んだツールを自ら使用するつもりなのか、あるいは公開するつもりなのかがわからないため、FireEyeはこのブログ記事で数百の対策を公開し、より広範なセキュリティコミュニティがこれらのツールから身を守ることができるようにしています。私たちは、これらの対策をFireEye製品に組み込み、パートナーや政府機関と共有することで、悪質な行為者がRed Teamツールを悪用する能力を大幅に制限しています。 対策の一覧は、こちらのFireEye GitHubリポジトリでご覧いただけます。

 

マンディアンさんのコメントです。上場企業ですので適時開示との関係にも配慮されているという感じですね。

● Fire Eye Blog - Stories

・2020.12.08 FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community by Kevin Mandia

簡単にまとめてみると・・・

---

• FBI、マイクロソフト等主要なパートナーと協力して、調査を行っている。
• 国家が資金提供した高度に洗練された攻撃者によるものである。
• 攻撃は斬新な技術が利用されている。
• 攻撃者は、当社が顧客のセキュリティテストに使用している特定のレッドチームの評価ツールを標的にしてアクセスしたことがわかった。
• これらのツールは、多くのサイバー脅威行為者の行動を模倣している。
• これらのツールには、ゼロデイ エクスプロイトが含まれていない。
• コミュニティを保護するという当社の目標に沿って、盗まれた ツールの使用を検出するための方法や手段を積極的に公開している。
• 攻撃者が盗んだツールを利用するつもりなのか、それとも公開するつもりなのかはわからない。
• Fire Eyeは、これらのツールが盗まれた場合の潜在的な影響を最小限に抑えるために、顧客やコミュニティ全体が使用できる300以上の対策を開発してきた。
• これまでのところ、攻撃者が盗んだツールを使用したという証拠はない。
• Fire Eyeは、セキュリティ・コミュニティの他の人々と同様に、盗んだツールを利用した活動がないかどうかを監視していく。
• 盗まれたツールの使用を検出したり、ブロックしたりできる対策を用意している。具体的には、
  
  • 当社のセキュリティ製品に対策を施している。
  • セキュリティ・コミュニティがセキュリティ・ツールを更新できるように、これらの対策を共有している。
  • 対策は、ブログ記事「Unauthorized Access of FireEye Red Team Tools 」で公開している。
  • レッドチームツールの追加的な緩和策については、今後も、公開されたものと直接セキュリティパートナーとの間で共有し、改善していく。
• 攻撃者は国家レベルでのサイバースパイ活動の一環として、主に特定の政府機関の顧客に関連する情報を求めていた。
• 攻撃者はFire Eyeの内部システムの一部にアクセスすることができたが、攻撃者がFire Eyeのインシデント対応やコンサルティング業務から得た顧客情報を保存している主要システムや、ダイナミック脅威インテリジェンスシステムで製品が収集したメタデータからデータを持ち出したという証拠はない。
• 顧客情報が持ち出されたことが判明した場合は、直接顧客に連絡する。

---

サイバーセキュリティの領域は、人々の生命、財産にも繋がっている問題ですので、ライバルと切磋琢磨することも重要ですが、全体の危機に際しては協力して対応することが重要ですよね。。。

かつてマンディアントさんが来日された際に、お話をしたことがありますが、とても真摯な技術者というイメージでした。。。被害が拡大しないように祈念します。。。