本稿では、2023年度にNRIセキュアにて調査対応したケースをもとに、不正侵入を前提とする侵害の概要を説明するとともに、調査から見えた課題や有効な対策について説明します。
はじめに
数年前までは、マルウェア感染疑義の調査依頼をいただくケースは「メールに添付されたマルウェアと思われるファイルを起動してしまった」「意図せず不正なURLにインターネットブラウザでアクセスしてしまった」など、端末操作者自身の操作が起因であったものが大半でした。
一方、昨今は「攻撃者による直接的な端末やサーバへの不正侵入」が侵害の初段や侵害範囲の拡大の段階で存在していることが多いです。これは弊社での調査ケースに限ったことではなく、公開されている事例でも同様の傾向が見られます。
不正侵入を伴う侵害とは
2023年度にNRIセキュアが調査対応したケースにおいて、攻撃者の目的は「ランサムウェアを用いた金銭脅迫」や「機微情報の窃取」から、「コインマイナーによるマシンリソース窃取」まで多岐にわたっていました。ただ、いずれのケースにおいても、侵害の初段に何かしらの方法を用いて攻撃者が被害組織内のホストに直接侵入していました。
昨今、侵害の影響度が高いことからランサムウェアを用いた侵害が国内外で非常に注視されています。この侵害を例にとっても従来までの手法(端末操作者にマルウェアを起動させる)とは異なり、多くのケースにおいて攻撃者による直接的な侵入を伴うことが複数機関から発信されています。
その一例として、警視庁は「ランサムウェア被害の大半がVPN機器やリモートデスクトップなど外部からの不正侵入を感染経路としている」と報告[i]しています。
調査対応ケースの侵害概要と不正侵入の手法
次に、実際に弊社で調査対応したケースを用いて不正侵入を伴う侵害について説明します。多くの調査ケースで見られた侵害挙動の概要図は以下の通りです。
攻撃者は、侵害の初段に正規の資格情報やVPN機器などの脆弱性を悪用して、攻撃対象の環境へ侵入していました(下記の図では初期侵入と記載)。さらに、侵入済みのホストから窃取した正規の資格情報を用いて、より価値の高いホスト、例えば、Active Directory サーバに到達するまで侵害を繰り返していました(図では横展開と記載)。
不正侵入と伴う侵害の概要図
結果として、攻撃者は多くのホストを掌握できる状況を作り出し、ランサムウェアの実行や機微情報の窃取など攻撃者の目的を果たす操作を攻撃対象の広域に対して実行していました。
初期侵入対象のうち注視すべきホストは開発環境や海外拠点内のホストです。開発環境は短期間で破棄する環境であったため、アクセス制御の検討が不足していました。また、海外拠点は国内拠点と比較してセキュリティ統制が十分に整備されておらず、任意の送信元からアクセスできる状況にありました。これらの環境からは国内拠点の社内ネットワークや本番環境という企業の本丸への横展開が可能であったため、侵害の影響はより大きくなりました。
図で示した不正侵入について用いられていた手法のうち、多かった2つを以下にご紹介します。
1. 正規の資格情報を悪用
攻撃対象の環境で使用されているアカウントのIDとパスワードをいずれかの方法で特定・窃取し、正規のユーザになりすましてインターネットと接点のあるホストへ不正侵入していました。攻撃者からの具体的なアクセス方法は、Windows搭載のホストはリモートデスクトップを、Linux搭載のホストはSSHを用いていたケースが大半です。
また、攻撃者が攻撃対象内のあるホストから他のホストへさらに不正侵入する際にも、正規の資格情報の悪用が多く用いられていました。よく見られたのが、最初に窃取された資格情報が低権限であっても、侵入したホストに残存した資格情報をさらに窃取し、結果として高権限へ昇格したケースです。これらのケースにおける資格情報の窃取イメージは以下の通りです。
資格情報窃取と権限昇格のイメージ図
- ①攻撃者は低権限のアカウントであるビルトインアカウントの資格情報を悪用しOA端末へ侵入
- ②OA端末上のメモリに残存する端末保守用の資格情報※を窃取
- ③窃取した端末保守用の資格情報を悪用しADの保守に使用するAD管理端末へ横展開
- ④AD管理端末上のメモリに残存するドメイン管理者の資格情報を窃取
- ⑤ADに不正ログイン=ドメインに属する全てのホストに対する制御を掌握
※端末保守用の資格情報は、端末保守を担当するサポートデスク担当者がリモートからの保守作業に用いる権限であるため、各端末の機微性に関わらず、いずれの端末においても存在する資格情報である。
2. VPN機器の脆弱性を悪用
VPN機器は製品の特性上、インターネットからの接続を必要とし、攻撃の対象となりやすい傾向にあります。地下市場などで不正に入手した資格情報(ここでの資格情報はVPN接続のための認証情報)の悪用やブルートフォース攻撃による資格情報の特定により、正規のユーザになりすましてVPN接続を行うケースは少なくありません。一方、VPN機器の脆弱性を悪用し不正にVPN接続を確立することで侵害を行ったケースも存在しました。
過去、複数社のVPN機器にて不正なVPN接続に至る可能性のある脆弱性は報告されていますが、本年度に対応した調査ケースにおいては、Array Networks社Array AGシリーズの脆弱性であるCVE-2023-28461[ii]が悪用されたことを確認しています。当該脆弱性を悪用した攻撃の概要図は以下の通りです。攻撃者は脆弱性を悪用してVPN接続時の認証に必要なアカウント情報を不正に入手した可能性がありました。
CVE-2023-28461を悪用した攻撃のイメージ図
- ①攻撃者はArray AGに対して外部からCVE-2023-28461を悪用した攻撃を試行
- ②①の結果としてArray AGからVPN接続のためのアカウント情報を窃取
- ③②で窃取した正規のアカウント情報を用いて不正にVPN接続を確立
- ④攻撃対象のNW内の端末にリモートアクセス(RDPやSSHなど)
なお、上記の脆弱性に関しては、JPCERT/CCやIPAから注意喚起[iii]が発行されており、日本国内で多くの攻撃が観測されています。
不正侵入の原因と対策
以下の表は弊社が実際に調査を行った不正侵入事案の主な原因と対策例です。前述の「1. 正規の資格情報を悪用」「2. VPN機器の脆弱性を悪用」が成立する原因は、いずれも従来から多くの侵害の要因として挙げられるものと同一です。
また、これらへの対策はいずれもベーシックなものであり、ランサムウェア被害をはじめとする昨今の不正侵入を伴う侵害にも有効であることがわかります。
調査対応した不正侵入事案の主な原因と対策例
攻撃手法 |
原因概要 |
原因詳細 |
対策例 |
Ⅰ. 正規の資格情報を悪用 |
認証に必要な資格情報の強度の低さ |
具体的にはWindowsのログインパスワードやVPN接続時の認証パスワードでしたが、これらの文字種が限定的、文字列が短い、アカウントIDと同一文字列であるなどパスワードの強度が低く、外部からの推測が容易な状態でした。 |
資格情報の強度の見直し |
資格情報の使いまわし |
横展開に関係がある要因ですが、複数のアカウントで、特に低権限と高権限のアカウントで同一のパスワードを使用しているケースが散見されました。低権限アカウントで侵入後、容易に高権限に昇格していました。 |
パスワード使いまわしの注意喚起 |
|
Ⅱ. VPN機器の脆弱性を悪用 |
脆弱性の放置 |
リモートからの任意コマンドの実行や認証パイパスを可能とする影響度の高い脆弱性が公表されていることを認知できていなかった、もしくは実際の影響を測れずリスクを過小評価した結果、脆弱性を内在したままの状態で長期にわたって運用を続けていました。 |
利用するシステムの最新化と脆弱性管理の運用 |
Ⅰ・Ⅱ共通 |
意図しないインターネットからの接続許容 |
侵入されたホストは、インターネットからのアクセスが不要であるにもかかわらず許容されていました。これら意図せず許容していたというケースが大半でした。 |
外部公開ホスト・機器の棚卸とアクセス制御の見直し |
認証機構自体の強度の低さ |
資格情報の強度の低さに加え、認証機構自体の強度が高くはありませんでした。具体的にはパスワードのみでしか認証されておらず、パスワードが特定されてしまうと容易に侵入を許す状態でした。 |
多要素認証の導入 |
|
不十分なシステム分離 |
セキュリティレベルの異なるシステムやホストが同一ネットワーク上に存在していました。そのため、攻撃者は資格情報を入手後、セキュリティレベルの高い対象に容易にアクセスし侵入していました。 |
セキュリティレベルに応じたシステムの分離 |
さらに検討したい施策|ITDRの導入
上記の対策はベーシックな内容であるものの、普段のセキュリティ運用を継続しながらの検討・施行は容易ではありません。特に、上述の「1. 正規の資格情報を悪用」の対策に特化した予防・検知を同時に実現できるソリューションはこれまでなく、対策の効果が得られるまで長い時間を要していました。
そのような状況の中で、資格情報を含むアイデンティティに対するリスク・脅威を迅速に可視化し、より短期間に対策を講じることができるIdentity Threat Detection and Response(以下、ITDR)というソリューションが注目されています。
ITDRとは
ITDRはGartnerによって提唱されたアイデンティティを標的とした脅威へ対応する概念(ソリューションカテゴリ)です。EDRと同様に、記録・検知・調査・対処の4つの機能で構成されていますが、EDRと異なる点は守るべき対象がアイデンティティに特化しているという点です。
ITDRを構成する機能
ITDRの必要性と具体的なリスク検知例
ITDRは資格情報の特徴(権限や属性など)とそれを用いた認証の挙動(具体的にはADやIDaaS上で観測する認証動作)を分析し、それらに関するリスクや脅威を可視化します。そのため、前述の表「調査対応した不正侵入事案の主な原因と対策例」のうち、「認証に必要な資格情報の強度の低さ」や「資格情報の使いまわし」などの資格情報に関する原因への対策を、省力化しながらも、より迅速に検討・施行できます。
ITDRによるリスク可視化の一例として、「1. 正規の資格情報を悪用」で説明した「正規の資格情報を悪用した低権限から高権限への昇格」が発生しうるログイン経路の可視化が挙げられます。前述の図「資格情報窃取と権限昇格のイメージ図」の状況において検出されるリスクのイメージは以下の通りです。
ITDRによる特権昇格リスクの検出イメージ
各端末に残存する資格情報の状況から、低権限であるビルトインアカウントから特権であるドメイン管理者権限への昇格を可能とするログイン経路が存在することを示しています。このようにリスクのある箇所を簡単に把握することができ、優先度高く対処(以下の図の例では、OA端末からAD管理端末へのアクセス可否の見直しなど)することが可能になります。
ITDRによる特権昇格リスクの検出イメージ
一方で、脅威の検知・対応を目的とするソリューションの代表的な一つとしてEDRが挙げられます。
ただし、EDRはホスト(エンドポイント)の挙動が主な分析対象であるため、前述の「正規の認証情報の悪用」の際、資格情報が正規ユーザにより使用されているのか、攻撃者に悪用されているのか判断できない場合があります。そのため、これらを判別できるITDRは、EDR導入済みの環境においても、脅威検知の有効な対策として注目されています。
なお、ITDRとEDRは攻撃フェーズごとの脅威検知において相互補完の関係にあります。これらを併用することで、どの攻撃フェーズにおいても脅威の検知が可能となります。
攻撃フェーズごとのITDRとEDRの有効範囲
おわりに
上述の通り、昨今の侵害に備えるためには攻撃者が直接、攻撃対象に侵入することへの対策が必要です。
その対策としては、従前までに存在していた資産の棚卸や設定の見直しなどのベーシックなものが変わらず挙げられ、これらを着実に検討・施行することが重要であると言えます。
また、資格情報に関連した対策をより迅速に推し進めるには、リスク可視化の機能を有しているITDRを導入することが有効です。さらに、万が一、侵害が発生してしまった場合にも、ITDRはアイデンティティに関する脅威を検知できるため、EDRと併用することでより強力に侵害に対応できます。
NRIセキュアでは、ITDRの導入と24時間365日の監視を含む運用をパッケージした「マネージドITDRサービス」を提供しております。ITDRにご興味がありましたら、貴社を担当するセキュリティ・コンサルタントまでお気軽にご相談ください。
[i] 警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
[ii] NIST NVD(NationalVulnerabilityDatabase)
https://nvd.nist.gov/vuln/detail/CVE-2023-28461
[iii] PCERT/CC「Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起」
https://www.jpcert.or.jp/at/2023/at230020.html
IPA 「インターネット境界に設置された装置に対するサイバー攻撃について~ネットワーク貫通型攻撃に注意しましょう~」
https://www.ipa.go.jp/security/security-alert/2023/alert20230801.html