CrowdStrike Blog:アイデンティティ保護の重要性:最近注目されたサイバー侵害から学ぶ重要なポイント | ScanNetSecurity
2023.06.01(木)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:アイデンティティ保護の重要性:最近注目されたサイバー侵害から学ぶ重要なポイント

昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャルの使用は一般的な方法であり、検知がかなり難しく、他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。

国際 海外情報
 最近、SolarWinds(ソーラーウィンズ)のソフトウェアが高度な攻撃者に悪用されたことが明らかとなり、またFireEye(ファイア・アイ)は自社のレッドチームが使用するツールが窃取されたことを公表しました。しかしこのような侵害は、CrowdStrikeが企業に提示するセキュリティ施策の方向性を変えるものではありません:それはアタックサーフェス(攻撃対象領域)を最小限に抑え、迅速な検知と対応を行い、インシデントを緩和して侵害に発展させないようにすることです。ただ、今週業界で見られたものを含めて、侵害においてアイデンティティを中心とした攻撃が不可欠な要素となっている点は、以前から変化したといえます。

 昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャル(認証情報)の使用は一般的な方法であり、検知がかなり難しく、ゼロデイ攻撃やカスタムメイドのサプライチェーン攻撃のような他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。クレデンシャルの不正使用により、従業員のクレデンシャル、特権ユーザーアカウントやサービスアカウントといったリソースへのアクセスが可能となります。このように適切な役割に基づいたロールベースのアクセス制御を実装しているIT 環境であっても、リアルタイムのコンテキストに基づいたアイデンティティの確認なくクレデンシャルに信頼をおくことが弱点をもたらし、被害を受ける可能性があります。サービス間に残る信頼情報とロールベースのアクセス制御の割り当ても、単なるクレデンシャルの検証を超え、意味のある方法でアイデンティティが検証されなければ、リソースを脆弱なまま放置することになります。

SolarWindsでのサンバースト:リアルタイムでのラテラルムーブメントの検知と防御

 SolarWindsを悪用したサプライチェーン攻撃は、トロイの木馬化されたソフトウェアアップデートを介して開始されましたが、それに続くミッション実行のための攻撃は、ラテラルムーブメント(水平移動/侵入拡大)によるものでした。有効なクレデンシャルを利用したラテラルムーブメントは、「より小さい」フットプリントで被害者の環境にアクセスすることができると考えられ、好まれました。事実、攻撃者は被害者のネットワークに侵入した後、複数のクレデンシャルを使用し、検知をより困難にしました。ラテラルムーブメントは非常に速く行われる可能性があるため、ログや事後分析だけではセキュリティアナリストへの警告を発信し、侵害を軽減させるには遅すぎます。攻撃者は、悪意のあるコードを介してネットワークへのアクセスを得ることもできたはずですが、ネットワークをナビゲートしようと試みた時に検知されたはずです。

 これらの最近の攻撃を阻止するために必要となるアイデンティティ中心型アプローチでは、リアルタイムでのトラフィック認証分析と機械学習(ML)分析を組み合わせて使用し、アイデンティティ攻撃が行われようとしているとき、もしくはすでに進行中の攻撃を迅速に特定して対応します。このアプローチで検知・阻止できる、ラテラルムーブメントを利用するその他の攻撃には、最近のMazeランサムウェアのようなランサムウェア攻撃があります。さらに、特にゆっくりと進む複数のクレデンシャル攻撃などは、明らかに悪意のあるものとしてフラグが立てられない可能性があります。認証トランザクションの正当性をリアルタイムに検証するため、リスクベースの条件付きアクセスを自動的に動作させる自己適応型のポリシーメカニズムを組み合わせる必要があります。

アイデンティティ特化型攻撃ツールの検知と対応

 企業を確実に保護するため、CrowdStrikeは、関連するホスト名やIPアドレス、URL、バイナリハッシュ、レジストリキー、その他のIOC(侵害の痕跡)や戦術、技術、および手順(TTP)をさまざまなデータベースに更新し、該当するバイナリやコマンド&コントロール(C2)のホスト名を悪意のあるものとしてタグ付けしています。

 FireEyeへの侵害によって窃取されたツールのうち、以下のものは悪意ある攻撃者が使用した場合に検知される必要があります。

●Active Directoryの予備調査および悪用
●クレデンシャルダンピングおよび盗用
●ケルベロス認証の悪用および搾取
SharpHoundやADPassHuntなどを含む、引用された特定のオープンソースツール

 Falcon Identity Protection ソリューションを使用されている CrowdStrike のお客様は、以下3つの方法で最近報告されている脅威から既に保護されています。

1.プロトコルの脆弱性(NTLM など)の把握、古い特権アカウントの識別、すべてのサービスアカウントのマッピング、およびアイデンティティストアに関する他のリスクを通じて、IT ハイジーンを改善し、アタックサーフェスを縮小して、プロアクティブに保護

2.SolarWindsの侵害における被害者に使用されたラテラルムーブメントの技術を含む、アイデンティティベースの攻撃ベクトルをリアルタイムで検知することにより、進行中の攻撃を軽減

3.FireEyeへの侵害により盗まれた攻撃テストツールの一部を含む、アイデンティティ特化型攻撃に対する自動対応による保護

 またCrowdStrikeのお客様には、最近公開されたSolarWindsインシデントへの防御に役立つ機能を既に提供済みです。

●CrowdStrike Threat Graphが侵害されたホストを識別:
・新たなSolarWinds Vulnerability Dashboardは、SolarWindsの脆弱性に関連するIOCのあるホストを識別し、また過去90日間に遡って侵害されたファイルが書き込まれたデバイスを確認
The Indicator Graphは、過去1年間にファイルやホストに侵害の証拠があるかを特定することが可能

●特定のML検知による新たなインシデントの識別:
Cloud ML検知オプションを有効にしたホスト上で、SolarWindsの脆弱性に関連するIOCの検知・表示

 最近のインシデントによって、セキュリティに対するアイデンティティ中心型アプローチの重要性が注目されています。セキュリティ対策が常にお客様のコアビジネスではないからこそ、CrowdStrikeはお客様を保護することをコアビジネスとして支援に取り組んでまいります。

FireEyeへの称賛

 FireEyeからの情報開示と透明性に感謝します。FireEyeは、組織や防御を行う方々が盗まれたツールから自らと組織を保護するために使用できる重要な情報を提供しています。 この情報は、FireEyeのブログで入手できます。

 私たちは皆、同じ攻撃者と戦っています。FireEyeのサイバー攻撃に関する情報公開と対策共有の迅速さは、称賛に値します。

 SolarWindsのサイバー攻撃の詳細については、SolarWindsがインシデントに関しSolarWinds Security Advisoryを公開しており、これにはSolarWinds Orionプラットフォームの使用に関連する詳細な推奨事項が含まれています。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/identity-security-lesson-from-recent-high-profile-breaches/
《Michael Sentonas (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

みずほ信託銀行がフィッシングメールに注意喚起 画像

みずほ信託銀行がフィッシングメールに注意喚起
Starlette にディレクトリトラバーサルの脆弱性 画像

Starlette にディレクトリトラバーサルの脆弱性
ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性 画像

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性
Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」 画像

Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」
Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性 画像

Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性
キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性 画像

キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性

インシデント・事故 記事一覧へ

送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚 画像

送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚
モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」 画像

モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」
屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」 画像

屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」
溶岩ドーム情報配信システムの登録者情報96名分が流出 画像

溶岩ドーム情報配信システムの登録者情報96名分が流出
国土交通省から流出したと考えられるデータをダークネット上で確認 無料公開に切り替え 画像

国土交通省から流出したと考えられるデータをダークネット上で確認 無料公開に切り替え
申込者のマイナンバーカードに別人の決済サービスが紐付く 画像

申込者のマイナンバーカードに別人の決済サービスが紐付く

調査・レポート・白書・ガイドライン 記事一覧へ

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023 画像

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023
ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証 画像

AI は脅威インテリジェンスを生成できるか、NEC技術者検証
日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査 画像

日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査

研修・セミナー・カンファレンス 記事一覧へ

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演 画像

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演
東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催 画像

今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催

製品・サービス・業界動向 記事一覧へ

6月4日まで「個人情報を考える週間」丹野委員長コメント 画像

6月4日まで「個人情報を考える週間」丹野委員長コメント
脆弱性診断自動化ツール「AeyeScan」アップデート、類似判定精度を向上 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、類似判定精度を向上
GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか 画像

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか
AeyeScan blog 第2回「AIプログラミング編」 画像

AeyeScan blog 第2回「AIプログラミング編」
長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力 画像

長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力
カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発 画像

カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×