The Hacker Newsは9月1日(現地時間)、「It's a Zero-day? It's Malware? No! It's Username and Password」において、攻撃者の武器で最も強力な武器は盗んだユーザー名とパスワードだとして、その深刻さと課題、Active Directory環境の保護の重要性について伝えた。
The Hacker Newsは、盗まれたユーザー名とパスワードなどの資格情報は、システムに不正アクセスを行う際に効果的な手段と指摘。サイバー攻撃の検出は、プロセスやネットワークトラフィック、ユーザーの行動などさまざまなアクティビティの異常を特定することに依存しているため、攻撃者が正常に認証されてしまうと、その後の攻撃を検出することが難しくなる。
攻撃者はダークWebのマーケットプレイスから窃取された認証情報を購入したり、侵害されたシステムのメモリダンプから認証情報を得たりすることがある。The Hacker Newsは組織の認証情報はいずれ漏洩するとして、プロアクティブなセキュリティ対策が重要だと説明している。
Active Directoryで使用される認証(NTLMやKerberos)は、標準で多要素認証(MFA: Multi-Factor Authentication)のような保護がない。このため、漏洩した認証情報を悪用した攻撃に脆弱とされる。攻撃者が盗んだ資格情報で侵入し、特権昇格も盗んだ資格情報で行えば検出されずに重要なデータにアクセスすることが可能となる。
The Hacker Newsは、脅威アクタが窃取した認証情報を悪用することで、従来のセキュリティソリューションを突破してActive Directory環境内でラテラルムーブメント攻撃を可能にしていると指摘。このような脅威からシステムを保護するために、The Hacker NewsはSilverfortのような保護を導入することでActive Directory環境においても多要素認証を実現できるとして、適切なソリューションを活用して窃取された認証情報からもプロアクティブにシステムを保護することが推奨されている。
