アイデンティティ情報狙うKerberoasting攻撃が583％増、クラウドストライク調査

クラウドストライクは9月13日、2023年度版脅威ハンティングレポートを公開した。同レポートは、脅威ハンティングチームであるCrowdStrike Falcon OverWatchチームが、CrowdStrike Intelligence and Servicesチームの協力の下、2022年7月1日から2023年6月30日までの世界のサイバー脅威に関する情報を分析・解説したもの。

プリンシパルコンサルタント鵜沢裕一氏は、攻撃のトレンドとして、「正規アカウントの悪用による対話型侵入の割合が62％」「Instance Metadata API を利用して認証関連データの収集を試みた攻撃の増加率が160％」「Kerberoasting攻撃の増加率が583％」を挙げた。

クラウドストライクプリンシパルコンサルタント鵜沢裕一氏

Kerberoasting 攻撃は、利用可能なツールやガイダンスが増えたことから、サイバー犯罪者の間で広まっているという。また、Kerberoasting攻撃手法を利用した侵入の27％でVICE SPIDERが利用さていることもわかっている。

いずれもアイデンティティにまつわる攻撃であり、アイデンティティの脅威が増していることが明らかになった。

鵜沢氏は、アイデンティティにまつわるトレンドとして、アクセスブローカーの広告が急増していることを紹介した。アクセスブローカーを利用することで、テクニックがなくても攻撃先を侵害できてしまうため、「大きな問題」と同氏は指摘した。

アイデンティティを保護するための対策としては、多要素認証の導入が紹介された。「外部に面している部分は多要素認証を設ける。これにより、アイデンティティを保護した上で監視することが大事」と鵜沢氏。

攻撃のトレンドとして、クラウドに対する攻撃も紹介された。クラウド資格情報を侵害することで広範囲にわたるラテラルムーブメントが可能になっているという。鵜沢氏は「クラウドの利用が増えていることから、クラウドを狙う攻撃も増えている。クラウドのセキュリティのプラクティスが確立されてないことから、設定不備を突かれるケースが多い」と説明した。

今後も、攻撃者はクラウドに対する知識を深め、エンドポイントへの攻撃からコントロールプレーンへの攻撃に移行することが予測されるという。

加えて、遠隔監視・管理（RMMRMM）ツールの悪用が、2022年に比べて312％増加していることにも注意が必要だ。これは、攻撃者が検出を逃れようとしていることを示しているという。

こうした状況への対策としては、「社内で使われているツールを洗い出し、IT部門が承認したツールのみが動くようにすることが重要」と鵜沢氏は述べた。

「企業では、さまざまなツールが使われている　中には、ユーザーが勝手に導入しているツールもあるが、どの規模の企業でも行われていること。ツールが想定したとおりに動いているかどうかを確認する必要がある」（鵜沢氏）

サイバー犯罪者に不正利用されている遠隔監視・管理（RMMRMM）ツール　資料：クラウドストライク

さらに、鵜沢氏は注目すべきトレンドとして、クロスプラットフォーム攻撃の巧妙化を挙げた。「Macはウイルスがないから安全などの神話があったが、企業で使われている以上、攻撃のターゲットになっている。また、LinuxはWindowsほど管理されておらず、侵害を検知できる体制をとることが重要。使っているプラットフォームは守るべき資産として認識して対処する必要がある」と、鵜沢氏はWindows以外のプラットフォームを保護する必要性を指摘した。

Windowsに加え、LinuxやmacOSも攻撃者に狙われている　資料：クラウドストライク

そのほか、APJにおけるトレンドとして、攻撃者同士の垣根がなくなり、攻撃者を特定することが難しくなってきたことが紹介された。eClimeではRaaSが使われるケースが増えているが、「簡単に攻撃できることから、参入障壁が下がって攻撃者が増えており、情報が集まっていないのではないかと考えている」と鵜沢氏は述べた。

攻撃手法の特徴としては、ハンズオンキーボード攻撃がほとんどの侵害で行われていると考えられるという。一方、マルウェアを使った攻撃は減っているとのことだ。