By Ling Cheng (Senior Product Marketing Manager)
スレットインテリジェンスとは何でしょうか。また、それがなぜ非常に重要なのでしょうか。例を挙げて説明してみます。多くの機密顧客データを扱う企業がある特定のオペレーティングシステムを使用していると場合を想定してください。突然、その企業が使用するシステムの脆弱性を狙った新たなマルウェアが出現したとします。この場合、さらに問題を複雑にする要素は、この脆弱性が周知されておらず、一般的な脆弱性データベースにも掲載されていないということです。結果として、企業は、こうした潜在的な脅威に対して「無防備」かつ「無知」の状態に置かれます。
このような状況では、スレットインテリジェンスを保持することが極めて重要となります。これにより、企業は、潜在的な攻撃よりも先手を打って自社の防御機構を強化することができます。また、攻撃が実際に起こった場合には、迅速なインシデント対応が可能になり、情報漏えい、システム障害、その他のセキュリティ事例に伴うリスクを効果的に最小限に抑えることができます。スレットインテリジェンスは、絶えず変化するサイバー脅威の状況に対して、企業や組織が迅速かつ適切に対応するための重要な情報源として機能します。
こうして状況は、自動車業界で注目を集め始めており、現在、自動車に関するスレットインテリジェンスの主要な情報源は以下のとおりとなっています。
既知の脆弱性:National Vulnerability Database (NVD), Japan Vulnerability Notes (JVN), Project Zero, MITRE CWEといった脆弱性情報の報告サイト
- オープンソースインテリジェンス:自動車サイバーセキュリティに関するニュース、フォーラム、ソーシャルメディア、リサーチャーによる公開ブログや投稿、コード共有サイトからの情報
- ディープウェブのクローリング:プライベートなソーシャルメディアグループや非公開フォーラムからの情報
- ダークウェブのクローリング:不正活動に使用されるペーストサイト、閉鎖されたハッキングフォーラム、違法なマーケットプレイスからの情報
- サイバー犯罪対策グループ:インターポールやFBIとの連携による情報
- 自動車セキュリティコミュニティ:Automotive Security Research Group(ASRG)、Automotive Information Sharing and Analysis Center(Auto-ISAC)、Open-Source Security Foundation(OpenSSF)などのグループからの情報
ゼロデイ脆弱性:自動車を狙う脅威で不足している情報
そうした中、自動車関連のスレットインテリジェンスに欠けている重要な要素として挙げられるものがゼロデイ脆弱性です。これらは、影響を受けるベンダーがまだ認識しておらず、修正されていないソフトウェア、ファームウェア、ハードウェアの不具合を指します。多くの場合、セキュリティリサーチャーがこれらの問題を明らかにしても、公式の修正版が提供されるまでには数週間から数ヶ月かかることがあります。
ゼロデイ脆弱性が特に警戒される理由は2つあります。まず、その時点で解決策が存在していないこと、そして、既に悪用可能であると確認されていることです。例えば、脆弱性リサーチャーのチームSynacktivがPwn2Ownバンクーバー2023で発見した2件のゼロデイ脆弱性は、悪用されることで攻撃者がテスラ車を遠隔操作することが可能になりました。しかもこのような脆弱性発見から遠隔操作までの一連のプロセスはわずか4分で完了しました。
ゼロデイ脆弱性がPwn2Own正規のバグ報奨金プログラムで高額な報酬を得るだけでなく、サイバー犯罪アンダーグラウンド市場でも高く評価される理由は、こうした利用価値にあります。
図1:自動車を狙う脅威情報に基づくVicOneのスレットインテリジェンス
このように高まりつつ課題に応えるため、VicOneは、業界の信頼性と2007年以来の脆弱性公開におけるリーダーシップで知られるトレンドマイクロ運営のZero Day Initiative(ZDI)と共同で、特に自動車業界向けとして初めてのPwn2Own Automotiveコンペティションを開催しました。この競技会は、参加者間の脆弱性発見の試みを通して、コネクテッドカー内に隠されて見つけにくいゼロデイ脆弱性を発見することを目的としています。
3日間にわたる激しい競技の末、VicOneとZDIはmPwn2Own Automotiveの初回大会を終え、49件のゼロデイ脆弱性を発見しました。これらの脆弱性には、脆弱性を悪用することで、参加チームのNCC Group EDGが車載インフォテインメント(IVI)(車載情報エンターテイメント)システム上で人気のファーストパーソンシューターゲーム「Doom」のプレイが可能になるものや、参加チームのSynacktivがテスラ車のモデムやIVIシステムへのの攻撃を成功させ、大会の総合優勝者として「Master of Pwn」の称号をもたらした脆弱性なども含まれます。
ゼロデイ脆弱性を制する最高のスレットインテリジェンス
過去10年に渡りZDIによって構築された堅牢な脆弱性管理プロセスに基づいて、Pwn2Own Automotiveで発見されるゼロデイ脆弱性は、適切に関連するベンダーへと報告されます。ZDIは、これらのベンダーと連携して、有効な修正パッチを開発することも可能です。ZDIの重要なパートナーであるVicOneは、今回のようなPwn2Own Automotiveイベントを通じて、新たな脆弱性や攻撃シナリオについての早期情報を得ることができます。こうした連携により、VicOneは、ベンダーやZDIと緊密に協力し、自動車サイバーセキュリティの専門知識を活かしています。さらに、公式の修正パッチがリリースされる前に、積極的な防御措置が施される仮想パッチの準備にも取り組んでいます。
図2:脆弱性管理のプロセス
唯一無二の検出能力:ECUソフトウェアパッケージにおけるゼロデイ脆弱性
ZDIとの連携、そしてPwn2Own Automotiveのような戦略的な取り組みを通じて、VicOneでは、ゼロデイ脆弱性を探求し、自動車関連のスレットインテリジェンスに新たな脆弱性情報を加えることで、お客様の安全を共に守ることを使命としています。VicOneの先進的な脆弱性管理システムとソフトウェア構成明細(SBOM)管理システム「xZETA」により、お客様は、自社の電子制御ユニット(ECU)のファームウェアやバイナリでゼロデイ脆弱性を積極的に特定できます。これにより製品セキュリティインシデント対応チーム(PSIRT)やエンジニアリングチームは、早期警告を受け取り、迅速な評価を行うことが可能になります。そしてゼロデイ脆弱性が公開されると、即座に仮想パッチが用意されます。これにより、お客様は私たち独自の仮想パッチ技術を駆使し、ベンダーの修正パッチがリリースされる前に、効果的な対策を講じることができます。
図3:ZDIのゼロデイ脆弱性情報とPwn2Own Automotiveなどの戦略的取り組みを活用するVicOneのxZETA
早期のサイバー攻撃検出
VicOne独自の自動車関連スレットインテリジェンスは、VSOCチームにとっても有益となります。このようなスレットインテリジェンスを利用できる自動車のセキュリティリ専門家たちは、不審な行動を分析し、(MITRE ATT&CK®に着想を得た)自動車アタックマッピングで示された戦術、技術、手順(TTP)と関連付けることができます。この過程は、対応する脅威対応ルールの作成を助け、VicOneの次世代VSOCプラットフォーム「xNexus」が類似の攻撃を検出する能力を高めます。こうしてVSOCは、ワンクリックで、現実世界のインシデントに関する迅速な知見を得ることができ、使用中のシステムが悪用可能なゼロデイ脆弱性のリスクにさらされているかどうかを評価できます。VSOCは、感染や攻撃の経路、TTPなどの重要な要素に関する詳細情報にアクセスでき、自動車サイバーセキュリティに関する包括的な知見を得ることができます。
こうしたVicOne成果は、SC Awards Europe 2023で「 Best Threat Intelligence Technology(最優秀スレットインテリジェンス技術賞)」を受賞したことでも明らかであり、同賞の審査員はVicOneを「優れた自動車向けソリューション」と評価しました。
脅威状況が絶えず変化し続ける中、VicOneによる自動車関連のスレットインテリジェンスの価値はますます高まっています。ZDIやPwn2Own Automotiveのような取り組みを強固な支援として、VicOneは、企業や組織がサイバー攻撃からシステムを守るために必要な最高の自動車関連のスレットインテリジェンスを提供することに尽力しています。