要約

  • MOVEit は、パッチのタイミングを開示の問題に変えた。これは、公開修正前、そして多くの運用者が自分たちが対象範囲であることを知る前に、悪用が観測されたためである。5月31日のパッチはその後の悪用を防ぐことはできても、5月27日から30日にかけてのデータ窃取が既に発生していないことを証明することはできなかった。
  • 脆弱だった対象はファイル転送コントロールプレーンである。これは、インターネットに公開され、取引の認証、機密ファイルの保持、定期的な転送の自動化、監査証拠の生成を行うアプリケーションである。このコントロールプレーンが侵害された場合、下流で問題となるのは、どのファイルが存在したか、どの顧客がそれらを所有していたか、誰に通知しなければならないかであった。
  • Progress は製品の修正、クラウド対応、勧告、サポートコミュニケーションを管理した。オンプレミスの運用者は、露出、パッチ適用、ログ記録、ファイル保持、ローカル調査を管理した。データ所有者は、サプライヤマップと通知義務を管理した。これらの管理境界により、同じ脆弱性が非常に異なる開示タイムラインを生み出した。
  • 永続的な教訓は、ファイル転送インフラストラクチャの緊急パッチプログラムには、事前に構築された証拠計画が必要であるということである。耐久性のあるログ、交換ファイルの短期保持、マッピングされたクライアント所有権、テスト済みの停止時ルーティング、そして「今すぐパッチを当てよ」と「すでに侵害されている可能性がある」を区別する勧告の文言である。

証拠マップ

#公開情報源本分析での用途
1Progress MOVEit 5月31日勧告CVE-2023-34362 の主要な勧告および即時緩和手順。
2Progress MOVEit 脆弱性 FAQ顧客向けパッチ順序、脆弱性リスト、クラウド/オンプレミスの区別。
3Progress 6月5日対応更新企業対応、クラウド復旧、フォレンジックサポート、顧客ガイダンス。
4Progress 6月13日透明性更新追加のコードレビュー、その後の脆弱性、パッチ頻度。
5MOVEit Transfer 2023リリースノートセキュリティホットフィックスと保守ブランチのリリースノートコンテキスト。
6Progress 2023年 Form 10-Qインシデントの記載、オンプレミスのテレメトリ制限、クラウド対応。
7Progress 2024年 Form 10-Kその後の法的、調査、ビジネスリスクのコンテキスト。
8SEC 調査終結通知SEC 調査終了に関する公的記録。
9NVD CVE-2023-34362 エントリ脆弱性の説明と深刻度コンテキスト。
10CISA 既知の悪用脆弱性カタログエントリ連邦政府の修正期限と悪用脆弱性ステータス。
11CISA および FBI 勧告 AA23-158A指標、脅威アクターコンテキスト、防御措置。
12英国 NCSC MOVEit 情報ページ国家サイバー当局のガイダンスと公共セクター向けフレーミング。
13英国 FCA MOVEit 声明金融セクターへの通知と規制対象企業の懸念。
14Mandiant ゼロデイ分析最早の悪用観測、LEMURLOOT の動作、データ窃取メカニズム。
15Rapid7 MOVEit タイムラインインシデントタイムライン、観測された悪用、その後の脆弱性シーケンス。
16Huntress 迅速対応分析エクスプロイトチェーン機能、アーティファクト、防御観測。
17Censys 露出分析インターネット公開ホストの可視性と露出数。
18Censys 業界分析露出証拠の限界と業界分布。
19Emsisoft MOVEit 侵害分析公開被害者と開示規模の分析、二次的コンテキストとして使用。
20ノバスコシア州 MOVEit 公開報告書政府運用者の経過、パッチ適用、再シャットダウン、窃取確認。
21NYC 教育省データセキュリティインシデントページデータ所有者への影響とファイルコピー開示の例。
22CalPERS 第三者侵害通知サプライヤ経由の年金データ露出例。

コントロールプレーンが失敗したもの

MOVEit Transfer は、管理された交換のためのツールであった。そのため、このキャンペーンは非常に重要なものとなった。脆弱なシステムは、価値の低いセッションデータを保持する任意の Web アプリケーションではなかった。それはファイル転送コントロールプレーンだった。ユーザーを認証し、ファイルを保存またはステージングし、転送を自動化し、アクティビティを記録し、機密記録を移動するのに十分に信頼している組織間の境界に位置していた。その境界での失敗は、セキュリティと証拠の両方を変える。

この出来事はしばしばファイル転送の信頼境界問題として扱われ、その枠組みは必要である。より狭いコントロールプレーンのレンズは、パッチのタイミング、証拠保存、勧告の順序が、どのようにして1つの悪用された製品を数ヶ月の開示作業に変えたかを問う。本質的な区別は、脆弱なコードを修正することと、コントロールプレーンが既に許可していたものを再構築することの間にある。パッチは侵入経路を塞ぐことができる。しかし、年金システムに対して、盗まれたファイルの中にどの退職者が含まれていたかを教えることはできない。学校システムに対して、どの評価がコピーされたかを教えることはできない。サービスプロバイダに対して、保持、命名、所有権メタデータ、ログが弱い場合に、フォルダにステージングされた記録をどの顧客が所有していたかを教えることはできない。

そのため、管理されたファイル転送プラットフォームには、通常の境界ソフトウェアとは異なる準備モデルが必要である。その目的は、機密データを移動中に保持することであり、時には一時的に、時には誰もが予想するよりも長く保持する。攻撃者がプラットフォームを悪用した場合、ネットワークの他の部分が侵害されていなくても、データ露出は即座に発生する可能性がある。多くの被害者からの公開報告書は、完全な企業乗っ取りではなく、MOVEit 環境からの窃取を説明している。それでも、ファイル自体が多くの人々と多くの下流データ所有者を表していたため、その狭い侵入は広範な開示危機を生み出した。

Progress は製品と MOVEit Cloud 環境を管理した。オンプレミスの顧客はローカルインスタンスを管理した。一部の組織は、自分たちに代わって MOVEit を運用するサービスプロバイダを使用していた。この混合により、説明責任は単純でも曖昧でもなくなった。ベンダーはパッチと勧告を発行できた。クラウドサービスにパッチを適用できた。しかし、顧客が運用するインストールのバージョン、露出、保存ファイル、ログを常に把握できるわけではなかった。運用者はアクセスをブロックし、パッチを適用し、証拠を保存し、ローカルシステムを検査できた。しかし、パッチが存在する前に脆弱な製品コードを書き換えることはできなかった。データ所有者は、自分の記録が影響を受けたファイルの中にあるかどうかを理解した後にのみ、人々に通知できた。

したがって、パッチのタイミングが開示のタイミングになった。パッチが公開される前の每一時間が窃取の機会となり得た。パッチが公開された後も、運用者がアクセスをブロックする前の每一時間が新たなリスクの機会となり得た。証拠を保存せずにパッチ適用に費やされた每一時間が、侵害の範囲を特定する能力を損なう可能性があった。ファイルを顧客にマッピングするのに費やされた每一日が、影響を受けた人々への通知を遅らせた。同じゼロデイが、組織が連鎖のどこに位置するかに応じて、異なる説明責任の問題を生み出した。

開示前の悪用が「今すぐパッチを当てよ」の意味を変えた

公開対応は2023年5月31日に始まり、Progress が重要な MOVEit Transfer 脆弱性を開示し、緩和策と修正バージョンを公開した。インシデント対応記録は、悪用が既に発生していたことを示している。Mandiant は5月27日に最初の悪用証拠を報告した。Rapid7 は5月27日と5月28日までの指標とデータ流出を確認した。Progress の提出書類によると、サポートチームは5月28日東部時間の夕方に最初の顧客からの電話を受け、調査を開始し、5月30日にゼロデイを特定した。

この経過は重要である。なぜなら、緊急パッチ適用の意味を変えるからである。「今すぐパッチを当てよ」は通常、運用者が迅速に行動すれば脆弱なシステムがまだ救われる可能性があることを意味する。開示前のゼロデイキャンペーンでは、「今すぐパッチを当てよ」は同時に二つのことを意味する:さらなる悪用を防ぐことと、侵害が既に発生している可能性があると想定することである。最初のタスクは変更管理である。二番目は調査である。それらを同じタスクとして扱うことはリスクを生み出す。

パッチが適用されたサーバーにはまだ Web シェルが含まれている可能性がある。パッチが適用されたサーバーは既にファイルを失っている可能性がある。パッチが適用されたサーバーはログがローテーションしようとしている可能性がある。パッチが適用されたサーバーは、調査担当者が何が起こったかを理解する前にサービスに復旧される可能性がある。ノバスコシア州の公開報告書は、この緊張を実際に示す貴重なケースである。州は勧告を特定し、システムをオフラインにし、パッチを適用し、サービスに復旧した。疑わしい IP アドレスに関する追加の国家ガイダンスの後、再びシステムを停止し、疑わしいアクティビティを発見した。その後、パッチの前にファイルが盗まれていたことを確認した。

この経過はノバスコシア州が不注意だったことを意味しない。公開勧告環境が運用者の行動中に変化していたことを意味する。初期対応者は、不完全な情報でサービス復旧と証拠保存のバランスを取らなければならなかった。公開の教訓は、ファイル転送コントロールプレーンの緊急ガイダンスは、可能な場合は修復前に保存するよう運用者に指示し、パッチ適用をインシデントツリーの一つの枝としてのみ扱うべきであるということである。

この区別は後の判断にも重要である。5月27日に悪用された組織は、5月31日のパッチを5月27日に適用することはできなかった。その組織の関連する管理手段は、インターネット露出、セグメンテーション、監視、ログ記録、データ最小化であった。5月31日以降も露出したままの組織は、異なる問題に直面した:公開警告後に緩和が行われなかったのはなぜか?両方のグループが侵害通知を行うことになるかもしれない。その説明責任の事実は同じではない。

クラウドとオンプレミスの対応には異なる時計があった

Progress は MOVEit Cloud を運用し、顧客運用向けに MOVEit Transfer を販売した。この区別は即座に重要になった。MOVEit Cloud の場合、Progress はアクセスをブロックし、パッチを適用し、調査し、テストし、復旧できた。オンプレミスの展開の場合、Progress は開示、通知、修正の公開、サポートはできたが、すべてのサーバーに直接パッチを適用したり、すべてのローカルログを収集したりすることはできなかった。その提出書類は、顧客運用バージョン、アクティビティ、保存データ、パッチステータスに関する継続的なテレメトリの欠如を明確に指摘していた。

その制限は言い訳ではなく、管理境界である。オンプレミスのインターネット公開製品を販売するソフトウェアベンダーは、多くの場合、ライブでの可視性が限られている。顧客は自律性とデータ管理のためにそのモデルを評価する。そのトレードオフはゼロデイ時に現れる。ベンダーは誰が露出しているか、どのバージョンがまだオンラインか、元顧客がまだインスタンスを運用しているかどうかを知らない可能性がある。所有権記録が古い場合、顧客は勧告を受け取らないかもしれない。サービスプロバイダがサーバーを運用している一方で、データ所有者は通知に対して法的責任を負う場合がある。

クラウド顧客は異なるリスクに直面する。プロバイダが環境を管理するため、パッチ負荷が少ないかもしれない。また、プロバイダの証拠と復旧判断により大きく依存する。Progress は MOVEit Cloud のアクセスが停止され、パッチが適用され、テストされ、復旧されたと述べた。それは正しいプロバイダの行動であるが、顧客は依然としてログを確認し、異常なダウンロードを検査し、自分のファイルがアクセスされたかどうかを判断する必要があった。プロバイダは共有コントロールプレーンを閉鎖できたが、顧客は依然としてデータ固有の結果を所有していた。

ハイブリッドモデルは不均一な時計を生み出した。一部のクラウドアクションは中央で実行できた。一部のオンプレミスアクションは、ローカル管理者、マネージドサービスプロバイダ、変更ウィンドウに依存していた。一部のデータ所有者通知は、ファイルをクライアントにマッピングする必要があるサプライヤに依存していた。したがって、公開開示の波は数ヶ月に及んだ。それは、一つのパッチをどこにでもインストールするのに数ヶ月かかったからではなく、コントロールプレーンの証拠が分散していたからである。

これは設計の教訓である。転送インフラのベンダーは、顧客連絡先の正確性、オプションのテレメトリチャネル、脆弱性緊急通知パス、機械可読バージョン証拠を維持すべきである。顧客は、インターネット公開資産インベントリ、所有権記録、エスカレーションルートを維持すべきである。サービスプロバイダは、クライアントとファイルのマッピング、契約上の通知時計を維持すべきである。これらの記録がなければ、勧告は霧の中への放送となる。

6月のパッチシーケンスは確実性を動く標的に変えた

5月31日の修正でセキュリティ作業が終わったわけではない。Progress と研究者は、その後数週間で追加の SQL インジェクション脆弱性を発見した。Progress は6月9日に CVE-2023-35036 のパッチを、6月15日に CVE-2023-35708 のパッチをリリースした。Rapid7 のタイムラインと Progress の FAQ がそのシーケンスを説明している。7月のリリースではさらなる脆弱性に対処した。公開証拠は、大量悪用キャンペーンを CVE-2023-34362 に関連付けており、後の発見のすべてではない。それでも、パッチシーケンスは運用者の負担を変えた。

運用者にとって、「MOVEit にパッチを当てた」という主張はタイムスタンプ付きのものになった。6月1日にパッチを当てたことは、6月10日にパッチを当てたことを意味しない。6月10日にパッチを当てたことは、6月15日以降も完全であることを意味しない。インスタンスにパッチが当てられたかどうかだけを尋ねるコンプライアンス質問票は、誤った安心感を生み出す可能性がある。適切な証拠は、バージョン、日付、時刻、Web アクセスステータス、ホットフィックスブランチ、展開内のすべてのノードが更新されたかどうかであった。

ここでソフトウェアライフサイクルとロックインが重要になる。ファイル転送製品は、しばしばスケジュールされたジョブ、パートナーワークフロー、認証システム、ファイアウォールルール、ビジネスプロセスに統合されている。それをオフラインにすることは実際の作業を中断する。繰り返しパッチを適用するには、テストと調整が必要になる場合がある。ワークフローにロックインされた組織は、危機の最中に製品を単に放棄することはできない。コントロールプレーン自体が監視下にある間も、コントロールプレーンを運用し続けなければならない。

Progress が後により予測可能なメンテナンスに向けてサービスパックに移行したことは、ルーチンのセキュリティ態勢に役立つ。緊急悪用は別である。進行中のキャンペーンでは、頻度よりも明確さが重要である。各勧告は、どのバージョンが影響を受けるか、以前の勧告から何が変わったか、悪用が観測されたかどうか、Web アクセスをブロックしたままにすべきかどうか、パッチが以前のすべての緩和策を置き換えるかどうかを述べなければならない。運用者にはリリースノートだけでなく、決定木が必要である。

6月のシーケンスは開示の言語も変えた。顧客に5月の悪用の証拠がなく、パッチ適用前に後の脆弱性にさらされていた場合、調査範囲は変わった。後の脆弱性が悪用で観測されていなければ、インシデント数を過大評価しないよう明確に述べるべきである。適切な勧告のタイミングには、観測された悪用、潜在的な能力、パッチの必要性についての精度が必要である。それらを一つの警報にまとめると疲労が生じ、対応品質が低下する可能性がある。

ネットワークリソース証拠は役立ったが、侵害を証明できなかった

インターネットスキャン証拠は MOVEit キャンペーンで重要だった。Censys は開示期間中に数千のインターネット公開 MOVEit ホストを特定し、露出の変化を追跡した。そのデータは到達可能な人口といくつかのサービスがオフラインになる速度を示すのに役立った。また、組織が忘れていた資産やサードパーティのホスティング関係を発見するのにも役立つ。ネットワークリソース証拠は、攻撃者が多くの資産インベントリよりも速く露出したサービスを見つけるため、価値がある。

しかし、露出は侵害ではない。インターネット上で可視なホストは、補償管理によって保護されているか、既にパッチが適用されているか、バージョンが原因で脆弱でないか、機密ファイルの保存に使用されていない可能性がある。逆に、特定のスキャンで捕捉されなかったホストが侵害されている可能性もある。スキャナーは外部から観測可能な特性を見るが、ローカルログやファイル履歴は読まない。Censys の後の業界分析は、露出の観測を被害者数として扱うことに対して警告していた。

同じ注意が IP 指標や Web シェルのファイル名にも当てはまる。CISA、Mandiant、Rapid7、Huntress、その他の対応者は有用な指標を公開した。これらの指標はローカル調査の手がかりであり、普遍的な証明ではない。攻撃者はインフラを変更できる。ログはローテーションする可能性がある。既知のファイル名がないことは安全性を証明しない。ログ内の既知の送信元アドレスは、必ずしも成功した窃取を証明しない。ローカル証拠が決定的である。

コントロールプレーンの教訓は、証拠を階層化しなければならないということである。外部スキャンは到達可能なサービスを特定する。ベンダー勧告は影響を受けるバージョンと修正を特定する。脅威レポートは観測された行動を特定する。ローカルログはリクエスト、アカウント、ダウンロード、ファイル、タイムスタンプを示す。ファイル保持記録は何が存在したかを示す。顧客データマップは誰が記録を所有していたかを示す。開示判断にはこれらすべての層が必要である。いずれかの層の弱点は、通知を遅らせるか、過剰な通知を生み出す。

MOVEit は、多くの組織が圧力の下でこの証拠スタックを構築しなければならなかったことを明らかにした。一部は公開してうまく行った。他は数ヶ月後にサプライヤを通じて開示した。その違いは常に道徳的な質ではなかった。それは多くの場合、組織が勧告を受け取る前に、耐久性のあるログ、明確なファイル所有権、短期保持、インシデント対応可能なサプライヤマップを持っていたかどうかを反映していた。

大量開示は窃取の結果であると同時にデータマッピングの失敗でもあった

このキャンペーンは開示通知を通じて世界的に可視化された。単一の悪用されたファイル転送プラットフォームが多くのクライアントからのファイルを保持し、各ファイルが多くの人々の記録を含む可能性があった。窃取後、問題は「MOVEit にパッチが当てられたか」だけでなく、「どのファイルのどの行が、どの法的義務の下でどの人々を表していたか」になった。それがデータマッピングである。

ノバスコシア州は、公務員、医療従事者、年金受給者、学生、コミュニティサービスクライアントを含むグループに通知しなければならなかった。ニューヨーク市教育省は、約19,000のファイルがコピーされ、学生評価、サービス進捗報告、メディケア資料、従業員休暇記録が含まれていたと報告した。CalPERS は、会員の死亡を特定し過払いを防ぐために使用されるサプライヤである PBI Research Services を通じた露出を開示した。これらの例は、直接的な運用者影響、公共セクターのデータ所有権、サプライヤ経由の露出という三つのパターンを示している。

データマッピングはしばしばプライバシー管理として扱われる。ファイル転送インシデントでは、それは復旧管理である。ファイルが必要以上に長く保持されると、露出が増加する。ファイル名がクライアント所有権を特定しない場合、範囲特定が遅くなる。サービスプロバイダがファイルをデータ所有者に迅速にマッピングできない場合、通知が遅くなる。データ所有者がサプライヤが MOVEit を使用していることを知らない場合、サプライヤが独自の調査を開始した後にのみインシデントを知る可能性がある。

したがって、ファイル転送コントロールプレーンは緊急範囲特定をサポートするメタデータを保持すべきである:データ所有者、保持クラス、転送目的、期待削除時間、機密カテゴリ、クライアント連絡先。すべてのメタデータが公開可能または単純であるとは限らない。一部の転送は複雑である。しかし、メタデータの欠如は侵害を考古学的作業に変える。被害者は、組織がシステムが何に使用されていたかを再発見するのを待つ。

短期保持は特に強力である。転送プラットフォームが一時的な交換メカニズムである場合、ファイルは運用上の必要性を超えて蓄積されるべきではない。保持の余分な一日ごとに、ゼロデイ攻撃者が利用可能なデータが増える。多くの組織は、誰かが再ダウンロードする必要がある場合に備えて「念のため」データを保持すると言う。MOVEit キャンペーンは便利さの反対側を示した:保持されたファイルは侵害インベントリになる。

勧告の文言はシステムだけでなく証拠も保護すべきである

多くの脆弱性勧告はパッチ適用に最適化されている。それは理解できる。アクティブな穴を塞ぐことは緊急である。転送コントロールプレーンの場合、勧告は証拠も保護すべきである。最初のメッセージは、運用者にアクセスを制限し、関連ログを保存し、可能な場合はシステムのスナップショットを作成し、既知の指標を検査し、露出ウィンドウ中に存在したファイルを特定し、有用な証拠を削除または上書きする前にデータ所有者と調整するよう指示すべきである。

これは、完全なフォレンジックケースを構築するために緩和を遅らせることを意味しない。証拠保存を緩和の一部にすることを意味する。急いだ再構築はログを消去する可能性がある。クリーンアップスクリプトはアーティファクトを記録前に削除する可能性がある。復旧されたサービスは通常のログローテーションを再開する可能性がある。ファイルパージは人々に正確に通知するために必要な連鎖を断つ可能性がある。最善の緊急プレイブックは、現在のリスクが低減され、過去のリスクが把握可能なままになるように手順を順序付ける。

Progress のガイダンスは迅速に進化し、ログレビュー、Web アクセスのブロック、パッチ適用、指標チェックを含んでいた。政府および業界の対応者は独自の指標と推奨事項を追加した。公開ガイダンスにフォレンジックコンテンツが全くなかったわけではない。重要なのは、転送プラットフォームはゼロデイの前にこのプレイブックを準備しておくべきであり、製品固有のログ場所、デフォルト保存警告、アーティファクトリスト、顧客連絡テンプレートを含むべきであるということである。

顧客も同じ準備が必要である。どの転送システムがインターネット公開されているか、どのビジネスユニットがそれらを所有しているか、どのサプライヤがそれらを運用しているか、ログがどこにあるか、ファイルがどのくらい保持されるか、誰がそれらをオフラインにできるかを知っているべきである。高リスクの転送製品については、緊急ダウンタイムを事前承認すべきである。アクティブな悪用中にオフラインにできないファイル転送システムは、管理された交換システムではない。安全な障害モードのないビジネスプロセスである。

ベンダーの開示義務はパッチ後も継続した

Progress は困難な出来事に直面した。ゼロデイを調査し、クラウドおよびオンプレミス製品にパッチを適用し、顧客と通信し、外部専門家と調整し、コードレビュー中に発見された追加の脆弱性に対応し、法的および規制上の問い合わせに対処し、投資家向け開示を管理しなければならなかった。公開記録は相当な対応活動を示している。また、修正が投稿された時点でベンダーの開示義務が終わらない理由も示している。

顧客は、悪用ステータス、影響を受けるバージョン、置き換えられたパッチ、クラウドアクション、オンプレミスの責任、ログレビュー、追加の脆弱性が悪用されたかどうかについての明確さを必要としていた。投資家と規制当局はリスク情報を必要としていた。データ所有者は、プラットフォーム運用者が盗まれたファイルを特定できるかどうかを知る必要があった。SEC 調査の後の結論は、Progress によって発表され、別の公開記録を追加したが、運用上の教訓を取り除くものではなかった。

説明責任の基準は、ベンダーが制御できなかったことを認識すべきである。Progress はすべての顧客運用サーバーに直接パッチを適用することはできなかった。すべての顧客が保存するすべてのファイルを知ることはできなかった。すべてのサプライヤがすべてのクライアントに即座に通知するようにすることはできなかった。しかし、Progress はセキュアな開発、脆弱性対応、勧告の明確さ、クラウド修復、顧客アウトリーチ、製品固有のフォレンジックガイダンスを管理した。これらは説明責任が集中する分野である。

運用者にとって、説明責任は他の場所に集中した。彼らは露出、バージョン管理、緊急変更、ログ保持、ファイル保持、サプライヤ通信を管理した。データ所有者にとって、説明責任は機密データがどこに移動するか、サプライヤが脆弱な転送プラットフォームを使用しているかどうかを知ることを含んでいた。MOVEit キャンペーンは、すべての通知に対して一つの当事者を非難する探し物になると有用ではない。どの管理がどこで失敗したかを正確に示す場合に有用である。

保持は静かな爆風半径の管理であった

ファイル転送システムはしばしば便利さのためにファイルを保持する。パートナーがバッチを再ダウンロードする必要があるかもしれない。ビジネスユニットがジョブの失敗に備えて短いバッファを望むかもしれない。ヘルプデスクは送信者に再アップロードを依頼しない方がよいかもしれない。それらの理由は理解できる。それらはまた侵害インベントリを生み出す。MOVEit キャンペーン中、特定の環境での損害は、悪用が機能したかどうかだけでなく、機能したときにどのファイルが利用可能であったかに依存した。

したがって、保持は爆風半径の管理である。正常な受け取り後にファイルを迅速に削除する転送プラットフォームは、数日または数週間の機密交換を蓄積するものよりも攻撃者に提供するものが少ない。短期保持は悪用を防ぐわけではない。成功した悪用の価値を減らし、後の範囲特定を簡素化する。狭いウィンドウのファイルのみが存在できる場合、調査官はマッピングする記録が少なく、通知する人々も少なくなる。

保持は証拠にも影響する。メタデータを保持せずに転送ファイルをあまりに迅速に削除すると、通知が難しくなる可能性がある。組織はファイルが存在したことを知っていても、その内容や誰が所有していたかを知らない可能性がある。ファイルを無期限に保持することは露出を生み出す。より良いパターンは、短期コンテンツ保持と耐久性のあるメタデータの組み合わせである:送信者、受信者、ビジネスオーナー、転送時間、機密クラス、削除時間、不要なコンテンツを保存せずに転送をマッピングするのに十分なファイル ID。これにより、調査官に台帳を提供しつつ、転送システムをアーカイブに変えることはない。

多くの組織は、インシデント中に転送プラットフォームがシャドウリポジトリになっていることを発見する。スケジュールされたジョブがファイルを預ける。ユーザーが後で収集する。失敗したジョブは重複を残す。古いフォルダは、誰もクリーンアップを所有していないため残る。脆弱性は現在の交換だけでなく、運用上の便利さの履歴を露出させる。MOVEit の開示は、転送プラットフォームがその意図された目的が一時的な移動であっても、高リスクデータストアとして管理されるべき理由を示している。

これはサービスプロバイダが特別な義務を負う場所でもある。多くのクライアントに一つの転送システムを使用するプロバイダは、侵害後にファイル所有権を特定するために人間の記憶に頼るべきではない。クライアント所有権、データカテゴリ、保持ルールはワークフローにエンコードされるべきである。そうしなければ、単一の悪用が手動のクライアントごとの再構築作業になる。その再構築は下流の通知を遅らせ、過少通知と過剰通知の両方のリスクを高める。

保持の教訓は実用的である。転送製品が侵害される前に、組織は問うべきである:どのファイルが保存されているか、どのくらいの期間、誰の権限で、どのようなメタデータとともに?侵害後、これらの回答は組織が迅速に範囲特定できるか、第一原理から調査しなければならないかを決定する。その違いは数ヶ月の不確実性になり得る。

サプライヤチェーンが一つの勧告を多くの通知時計に変えた

MOVEit キャンペーンはまた、ベンダーの勧告時計とデータ所有者の通知時計の不一致を明らかにした。Progress は5月31日に勧告とパッチを公開できた。オンプレミスの運用者は6月1日にアクセスをブロックし、サーバーにパッチを適用できた。サービスプロバイダは疑わしいダウンロードを発見した後、独自の調査を開始できる。データ所有者は自分の記録が関与していることを後で知るかもしれない。情報がファイル内にあった人物は、悪用から数ヶ月後に通知を受け取るかもしれない。各ステップは異なる時計であった。

これは単に遅さではない。それはサプライヤデータフローの構造的特徴である。年金システムは記録を死亡確認プロバイダに送信するかもしれない。プロバイダは MOVEit を使用するかもしれない。脆弱なサーバーはプロバイダまたは別の当事者によって運用されるかもしれない。その後、年金システムは会員に通知しなければならないかもしれない。影響を受けた人物は転送製品について聞いたことがないかもしれない。説明責任は、技術よりも目に見えないことが多い契約とデータマップを通じて移動する。

通知法はこの複雑さを強める可能性がある。異なる管轄区域とセクターは通知期限を異なる方法でカウントする。一部の時計は、組織が個人情報が取得されたと判断した時点から始まる。他は法執行機関の遅延、データ所有者の指示、または顧客契約に依存する。盗まれたファイルを迅速にクライアントにマッピングできないサプライヤは、すべての下流の法的分析を遅らせる。サプライヤのサブプロセッサスタックを知らないデータ所有者は、最初にどこに問い合わせるべきかわからないかもしれない。

管理の答えはサプライヤパス証拠である。データ所有者は、どのベンダーとサブプロセッサが機密転送を扱うか、それらがどの製品を使用するか、データがどこに保存されるか、ファイルがどのくらい利用可能か、どのインシデント通知条件が適用されるかを知るべきである。サービスプロバイダは、クライアント固有の影響を受けるファイルリストを迅速に生成できるべきである。ベンダーは、サプライヤが自社の顧客データが範囲内にあるかどうかを判断できるように十分に具体的な勧告を作成すべきである。目標は完璧な即時通知ではない。回避可能な再発見の連鎖を防ぐことである。

CalPERS、ノバスコシア州、ニューヨーク市の教育記録は、この連鎖の異なるポイントを示している。一つはサプライヤパス、一つは政府運用サービス、一つは公的教育データ所有者に関係していた。共通の特徴は、製品脆弱性からファイル特定、人物向け通知への移動であった。製品パッチはその作業を行うことはできない。既存のデータ所有権記録のみができる。

サポートされていない、または管理されていないインスタンスは勧告の盲点を生み出す

Progress の提出書類は、顧客運用の MOVEit Transfer 展開に関する限られたテレメトリに言及していた。これはオンプレミスソフトウェアの一般的な現実である。ソフトウェアがインターネット公開で重要な場合に危険になる。ベンダーは既知の顧客に通知できるが、ソフトウェアインベントリは劣化する。ビジネスユニットは移動する。請負業者がサーバーを管理する。ライセンスは失効するがシステムはオンラインのままである。元顧客はレガシージョブのために古いインスタンスを保持する。勧告は、攻撃者がまだ見ることができるシステムを逃す可能性がある。

インターネットスキャンはこの盲点を明らかにするのに役立つ。Censys や他の露出情報源は、MOVEit のように見えるサービスが到達可能であることを示すことができるが、常に責任のある運用者を特定したり、バージョンを証明したりできるわけではない。スキャンは、ベンダーの顧客データベースが適切な人物に接続しないホストを見つけるかもしれない。これは対応ギャップを生み出す:攻撃者はターゲットを見るが、ベンダーは誰がそれを所有しているかを知らないかもしれず、組織はその資産が存在することを知らないかもしれない。

説明責任の教訓は、資産インベントリは事務作業ではないということである。それは公開勧告と実際の修復を結びつけるリンクである。インターネット公開ファイル転送ソフトウェアを運用する組織は、所有者、バージョン記録、緊急連絡先、承認されたダウンタイムパス、サービスがインターネットから到達可能かどうかについての明確な決定を持つべきである。ベンダーは、機械可読バージョン発見と、スタッフの入れ替わりを生き残る顧客通知チャネルをサポートすべきである。マネージドサービスプロバイダは、自社のクライアント向け緊急連絡先マップを維持すべきである。

サポートされていない、または管理されていないインスタンスはまた開示を複雑にする。古いサーバーが機密ファイルを保持し、キャンペーン後まで誰も認識しない場合、組織はログ、保持記録、または現在のサポートを欠く可能性がある。結果はパッチ適用の遅れだけではない。誰が被害を受けたかについての弱い証拠である。この証拠の弱さは、組織が範囲を狭めることができないため広範な通知を生み出すか、影響を受けたデータを決して見つけないため不十分な通知を生み出す可能性がある。

したがって、MOVEit キャンペーンは、インターネット公開ファイル転送インベントリを定期的なガバナンス項目にするべきである。取締役会と監査チームは、転送システムのリスト、露出ステータス、所有者、保持ルール、サポートバージョン、インシデント連絡先を求めるべきである。そのリストが危機の前に作成できない場合、ゼロデイ勧告の後に魔法のように現れることはない。

パッチ保証にはバージョン管理された証拠トレイルが必要だった

繰り返される緊急修正は文書化の問題を生み出す。運用者は、パッチを適用したことだけでなく、どのパッチを適用したか、いつ Web アクセスをブロックしたか、いつサービスを復旧したか、追加の勧告が以前の修正を置き換えたかどうか、展開内のすべてのノードが更新されたかどうかを証明する必要がある。高リスクのファイル転送インシデントでは、この証拠トレイルはセキュリティと法的通知の両方に重要である。

公開された MOVEit シーケンスはこの問題を例示している。5月31日は最初の悪用された脆弱性に対処した。6月9日と6月15日は、レビュー中に発見された追加の SQL インジェクション脆弱性に対処した。7月は追加の修正をもたらした。一部は元のキャンペーンでの悪用に公開的に関連付けられていなかったが、それでも行動を必要とした。一度更新して停止した運用者は、迅速に行動したと正直に言えるが、数日後には古くなっている可能性がある。

バージョン管理された証拠トレイルには、勧告識別子、CVE リスト、パッチ適用前のソフトウェアバージョン、パッチ適用後のソフトウェアバージョン、可能な場合はハッシュまたはパッケージ ID、Web アクセス制限の開始と終了、管理者 ID、影響を受けるノード、検証結果を含めるべきである。クラウドサービスの場合、プロバイダは環境が更新されたことを示す同等の顧客向け証拠を提供すべきである。オンプレミスシステムの場合、運用者は独自のトレイルを保存すべきである。サービスプロバイダの場合、クライアントレポートは、クライアントのデータをホストした環境と、その環境に適用されたパッチ状態を示すべきである。

これは官僚的な過剰ではない。顧客がパッチの前にデータが露出したかどうかを尋ねるとき、答えは日付とバージョンに依存する。保険会社、規制当局、データ所有者が緩和がタイムリーであったかどうかを尋ねるとき、答えは証拠トレイルに依存する。後の脆弱性が開示されるとき、対応者は以前のメンテナンスが既に修正を含んでいたかどうかを知る必要がある。バージョン管理された証拠がなければ、インシデント対応は記憶の競争になる。

より広範なソフトウェアライフサイクルの教訓は、緊急パッチ適用は設計によって監査可能であるべきであるということである。製品は現在のバージョンとホットフィックスステータスをエクスポートしやすくするべきである。勧告はバージョンを CVE に明確にマッピングすべきである。運用者は、パッチ証明をインシデント対応の一部として扱うべきであり、事後の雑用としてではない。ファイル転送コントロールプレーンでは、パッチ保証は開示保証である。

パッチ保証はまた顧客が読み取り可能であるべきである。データ所有者は、サプライヤの一般的な声明から、自分の記録がパッチ適用済みまたは未適用のインスタンスの背後にあると推測する必要はない。有用なレポートは、どの環境がデータを保持していたか、どの露出ウィンドウが調査中か、窃取証拠が存在するか、どの勧告バージョンが適用されたか、どのログがレビューされたかを示す。その情報により、データ所有者は、取得が確認されたため通知しているのか、取得を除外できないため通知しているのか、プラットフォーム侵害後に契約が通知を要求するため通知しているのかを判断できる。これらは異なる説明責任の立場である。

説明責任のテスト

MOVEit は、脆弱なコントロールプレーンが多くの組織とその機密ファイルの間に位置していたため、パッチのタイミングを大量開示に変えた。5月31日のパッチは必要だった。しかし、誰が既にアクセスされたか、どのファイルがコピーされたか、どのクライアントがそれらのファイルを所有していたか、どの人々が残余リスクに直面しているかを答えるには十分ではなかった。その作業は、ログ、保持、資産インベントリ、サプライヤマップ、通知ガバナンスに依存していた。

より良い基準はコントロールプレーンの復元力である。ファイル転送ベンダーは、定期的なパッチ適用だけでなく、悪用対応のために製品と勧告を設計すべきである。運用者は、転送システムを可視化し、露出を最小限に抑え、短期保持し、証拠準備を整えておくべきである。データ所有者は、どのサプライヤが自分の記録を移動するか、サプライヤの転送プラットフォームが侵害されたときにどの通知義務が開始されるかを知るべきである。規制当局は、対応速度を層で判断すべきである:パッチ速度、証拠保存、データ所有者マッピング、個人通知。

このキャンペーンの永続的な教訓は、ファイル転送システムは単なるパイプではないということである。それは一時的な金庫であり、ワークフローエンジンであり、証拠の台帳である。そのコントロールプレーンが失敗したとき、パッチは説明責任の始まりに過ぎない。