米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2023年10月5日(米国時間)、「NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA」において、米国家安全保障局(NSA: National Security Agency)と共にサイバーセキュリティの設定ミストップ10に関する勧告を発表した。

  • NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA

    NSA and CISA Release Advisory on Top Ten Cybersecurity Misconfigurations|CISA

発表された共同サイバーセキュリティ勧告は次のサイトから閲覧できる。

この勧告では、大規模組織で一般的なサイバーセキュリティの設定ミスについて説明し、脅威アクターがこれら設定ミスを悪用するために使用する戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)について詳しく解説している。また、設定ミスを脅威アクターに悪用されるリスクを軽減するために、推奨される緩和策を提示している。

共同サイバーセキュリティ勧告で説明されている設定ミス、トップ10とその要約は次のとおり。

  1. ソフトウェアとアプリケーションのデフォルト設定 - システム、サービス、アプリケーションのデフォルト設定は、不正アクセスやそのほかの悪意ある活動を許す可能性がある。特にデフォルトの認証情報やサービスの権限などは、脅威アクタから簡単に悪用される可能性がある
  2. ユーザー権限と管理者権限の不適切な分離 - 管理者は多くの場合、1つのアカウントに複数の権限を与える。このようなアカウントは脅威アクターの横方向の移動や権限昇格の検出を妨げ、これら行為を実現する可能性がある
  3. 不十分な内部ネットワークの監視 - 一部の組織ではトラフィック収集とエンドホストのログ記録のためにホストとネットワークセンサーを適切に構成していない。これらが不十分な場合、侵害を検出できない可能性がある
  4. ネットワークセグメンテーションの欠如 - ネットワークセグメンテーションが不十分な場合、ユーザー、運用ネットワーク、重要なシステムネットワーク間にセキュリティの境界がない状態となる。ネットワーク上のリソースを侵害した脅威アクタはさまざまなシステム間を横方向に移動できてしまう
  5. 不十分なパッチ管理 - パッチ管理が不十分な場合、脅威アクターは修正されていない不具合を発見して重大な脆弱性を悪用する可能性がある。パッチ適用の遅れのほかにサポートを終了したソフトウェアやハードウェアの使用もこれに該当する
  6. システムアクセス制御のバイパス - 脅威アクターは環境内の代替認証方法を侵害することでシステムのアクセス制御をバイパスすることがある。代表的なものにKerberoasting攻撃がある
  7. 多要素認証(MFA: Multi-Factor Authentication)方式の弱さや設定ミス - 多要素認証における一部の方式はフィッシングやSIMスワップなどの攻撃に対して脆弱
  8. ネットワーク共有とサービスに対するアクセス制御リストが不十分 - 不適切な設定により、権限のないユーザが共有ドライブ上の機密データにアクセスできる場合がある。共有ドライブやフォルダは、コマンド、オープンソースのツール、マルウェアなどから検索することができる
  9. 認証情報の衛生状態が不適切 - 簡単に解読できるパスワードの使用や、パスワードをテキストファイルに保存すると脅威アクタにより資格情報が窃取される可能性が高くなる
  10. 無制限のコード実行 - 未検証のプログラムの実行が許可されている場合、脅威アクターは任意の悪意あるペイロードを実行する可能性がある

共同サイバーセキュリティ勧告では次のような対策の実施を推奨している。

  • 上記の設定ミスを改善してリスクを軽減するため、同勧告に記載されている緩和策を必要に応じて実施する
  • すべての重要インフラ事業体は「Cross-Sector Cybersecurity Performance Goals | CISA」を閲覧し必要に応じて実施する
  • ソフトウェア開発製造業者は「箱から出してすぐ安全」であることを保証するため、同勧告に記載されている推奨事項を実施する
  • 同勧告にアドバイザリとして記載している「MITRE ATT&CK Tactics and Techniques」に対応した脅威の挙動に対する組織のセキュリティプログラムの演習、テスト、検証を行う

CISAは上記のような設定ミスはあまりに一般的であり、記載されるテクニックも脅威アクターに標準的に悪用されているもので、実際に多くのネットワーク侵害の原因になっているとしている。大規模組織のシステムおよびネットワーク管理者に対しては、同勧告で提示されている緩和策を適切に実施し、システム、ネットワーク、機密情報などを保護することが望まれている。