外部から社内ネットワークに侵入され、ランサムウエアに感染したり、情報が窃取されたりする事例が国内外において多数発生している。こうした事例における初期侵入方法の傾向とその対策、課題について、インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏が、1月23日にマイナビPLACE歌舞伎座タワーで開催された「THE SECURITY 2024 January 最新のセキュリティトレンドを知る」の基調講演で解説した。

ゼロトラスト以前に押さえるべき多様化する初期侵入経路

米MITREが公開しているエンタープライズ向けのATT&CKマトリックスを見ると、初期侵入経路としてさまざまなものが挙げられている。

「(ATT&CKマトリックスにおいて)初期侵入はフィッシング、サプライチェーン攻撃など10のテクニックに分類されています。目新しい手法があるわけではないものの、その被害は後を絶ちません。このような状況に危機感を覚えています」(根岸氏)

  • インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏

境界防御の限界が叫ばれており、侵入前提でのスレットハンティング、エンドポイントセキュリティの強化など、いわゆるゼロトラストセキュリティの重要性が高まっている。一方で、完全にゼロトラストへ移行できている企業はほとんどなく、境界防御と使い分けているのが現状だ。

こうした状況を踏まえ、根岸氏は「初期侵入対策が一周回って疎かになってしまっているのでは」と指摘する。

  • ATT&CKマトリックスの初期侵入(Initial Access)

初期侵入に備えて対策すべき6つのポイント

一方で、攻撃側は日々進化しているため、細かな部分では新たな傾向もある。根岸氏は初期侵入の手法の代表例として以下の6つを紹介したうえで、「昔からある攻撃も含め、最近の傾向も踏まえて対応していただきたい」と呼びかけた。

1. 脆弱性の悪用

警察庁の報告によると、ランサムウエア被害のうち約7割がVPNの脆弱性を悪用したものとなっている。根岸氏は「ゼロデイ攻撃は特に最近目立つ」とする。

2. アクセス制御の不備

何らかのタイミングでファイアウォールの設定ミスなどがあり外部から攻撃を受けるケースだ。

「外部からのアクセス経路がどうなっているか調べておけば、脆弱性対応するまでもなく防げていた可能性があります」(根岸氏)

3. ソフトウエアサプライチェーン攻撃

ソフトウエアベンダーの開発環境が攻撃され、当該ソフトウエアを利用しているユーザーが最終ターゲットとなる。正規のアップデートを装ったマルウエアが送られてくるため、「かなり洗練された攻撃で気付くのが難しい」(根岸氏)巧妙な手口だ。仮にEDRがこの攻撃を検知しても、それを目の当たりにした人間側が「正規のアップデートだから誤検知だろう」と読み飛ばしてしまうケースもあるそうだ。

4. 正規アカウントによる侵害

認証情報が外部に漏れており、正規のアカウントになりすまされて侵入を許してしまうケースだ。根岸氏は「CISA によるリスクアセスメントによると、ここ2年間、初期侵入において一番成功率が高かったのが正規アカウントによる侵害だった。決して他人事ではない」と警鐘を鳴らす。

5. IAB(イニシャルアクセスブローカー)の台頭

ランサムウエア攻撃者は、不正に入手した認証情報を販売する専門のマーケットやブローカーを通じて、ターゲットにしている組織のアクセス権を購入して攻撃に利用する。「ここ何年かでこうしたエコシステムが回るほど拡大している」と根岸氏は警戒感を示した。

6. 多要素認証を回避・突破する攻撃

大きく分けて2つのタイプに分けられる。1つは、攻撃者が通信の間に入って中継をするタイプのAdversary-in-the-Middle(AitM)という攻撃。もう1つは、MFA 疲労攻撃と呼ばれるもので、攻撃者側が認証を試行し、ユーザーがその通知をうっかり承認してしまうことを狙ったもの。情シス部門を装って個別にユーザーへ電話をして許可を求めるケースも海外で報告されている。

「誰もがここまで巧妙に仕掛けてくるほどの規模ではありませんが、手が込んでいて防ぐのが難しい手法です」(根岸氏)

本質を忘れてはならない、脆弱性の悪用への対応

続いて根岸氏は、脆弱性の悪用についてさらに深掘りして解説した。

近年、脆弱性の公表から攻撃が観測されるまでのリードタイムが短くなっている傾向にある。攻撃コードが公開されている状態ではすぐに攻撃が来る可能性が高くなるため、パッチ適用までの猶予期間がさらに短くなる。

根岸氏は、わかりやすい例として2つのゼロデイ脆弱性の事例を紹介した。

まずは、FortiGateというVPN製品の脆弱性(CVE-2023-27997)に対する攻撃だ。この事例では、2023年6月に脆弱性情報とパッチが公開。発見者がブログを公開し、セキュリティベンダーがエクスプロイトの再現に成功したため注意喚起されたが、攻撃コードが広まることなく大規模な攻撃活動はなかった。

対照的にCitrix ADCの脆弱性(CVE-2023-3519)では、2023年7月にパッチが公開された後、同月末時点で数百件の侵害が報告された。8月に入ってからはセキュリティベンダーが2000台近くにバックドアが仕込まれていると報告。そのうち7割はパッチが適用されていたという。つまり、パッチを適用した時点で攻撃されていて、気づいていなかったことになる。

「外部に公開されている機器には常にこのようなリスクがあり、決して珍しい事例ではありません。是非ともそのリスクと隣り合わせになる状況を頭に入れて利用いただきたいです」(根岸氏)

  • 根岸氏が取り上げた2つの事例のタイムライン

攻撃状況把握後の対応方針を検討するにあたって、根岸氏はKEV CatalogCVSS ver4.0EPSSSSVCといったフレームワークや評価基準を紹介する。ただし「これを使っておけば安心というわけではない」と強調。まずは自社の環境や攻撃状況を把握することの重要性を第一に考えるよう呼びかけた。

「自社の環境や脆弱性の状況を把握する手段を持ち、攻撃状況が把握できていて対応がとれるのであれば、極論どんなものを使っても良いのです。逆に言えば、どれか1つの手段を使えば解決するということはありません。本質を忘れるとフレームワークや評価基準に右往左往してしまうので注意が必要です」(根岸氏)

正規アカウントによる侵害は、個人のアカウントと法人の情報が紐付く事例が増加

攻撃者にとって一番成功しやすいと言われているのが正規アカウントの侵害だ。大阪急性期・総合医療センターのランサムウエア被害をはじめ、甚大な被害につながるケースも多い。

国内部品メーカーのNITTANは、VPN装置の脆弱性のパッチ適用前に認証情報が漏れていたが、パスワードを変更せずにいたためにランサムウエアの被害を受けてしまった。「こうしたケースは決して珍しくはない」と根岸氏は言う。

社員個人のアカウントが利用されるケースも出てきている。米Ciscoのセキュリティ部門Talosは、社員の個人Googleアカウントが侵害されたことがきっかけとなり、サイバー攻撃を受けている。また、米Oktaのサポート管理システムへの不正アクセス事件においては、社員が会社のPC端末で個人のGoogleアカウントへのログインを行ったことにより、認証情報が流出したとされている。根岸氏によると、こうした事例はここ2~3年で非常に増えてきているそうだ。

自社の環境・脆弱性の状況・攻撃状況を把握するという前提を徹底する

基本的な対策で防げる攻撃もあれば、同じ攻撃手法における新たな傾向も出てきている。そのため、最新情報をキャッチアップしつつ初期侵入への対策を見直していくことが重要だ。

根岸氏は「いずれはゼロトラストへ移行し、外部から内部という考え方はなくなるかもしれないが、現状ではそうなってはいない。どのような対応をとるにしても、自社の環境、脆弱性の状況、攻撃状況の把握は必須となる」と改めて強調し、講演を締めくくった。