米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月26日(米国時間)、「CISA, NCSC-UK, and Partners Release Advisory on Russian SVR Actors Targeting Cloud Infrastructure|CISA」において、英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)およびその他の米国、国際パートナーと協力して共同アドバイザリー「SVR Cyber Actors Adapt Tactics for Initial Cloud Access | CISA」を発表した。
このアドバイザリーはロシア対外情報庁(SVR: Sluzhba vneshney razvedki Rossiyskoy Federatsii、Служба внешней разведки)のサイバー攻撃グループ「APT29(別名:Dukes、CozyBear、NOBELIUM/Midnight Blizzard)」がクラウド環境への初期アクセスに使用した戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を提供するもの。
共同アドバイザリーで解説している内容
公開された共同アドバイザリーは、攻撃グループがどのようにしてクラウドサービスへの初期アクセスを獲得したかについて詳しく解説している。その概要は次のとおり。
- ブルートフォース攻撃やパスワードスプレー攻撃を使用したサービスアカウントへの不正アクセスが確認された。これらアカウントの背後には人間のユーザーがいないため、多要素認証(MFA: Multi-Factor Authentication)による保護ができない。また、インシデント対応中のユーザーに対するパスワードリセットの強制後に非アクティブなアカウントを使用して不正ログインしたことも確認されている
- アクセストークンを入手して、パスワードを使用せずに不正アクセスしたことが確認された。クラウドシステムが発行するトークンの有効期限はシステムごとに異なるが、管理者はユーザーごとに適切に設定する必要がある
- パスワードスプレー攻撃と資格情報の再利用を使用して個人アカウントのパスワード認証を何度もバイパスしたことを確認した。このとき、「MFA爆撃」または「MFA疲労攻撃」として知られる手法で多要素認証をバイパスしている。この攻撃に成功すると脅威グループは自分のデバイスをクラウドテナントに登録することが観察されている
- 脅威グループはネットワークレベルの不審な活動の検出技術の向上に合わせ、レジデンシャルプロキシを使い始めた。レジデンシャルプロキシは一般のISPが提供するIPアドレスを提供するサービスで、攻撃者は自身のIPアドレスを隠蔽し、別のISPのIPアドレスを使用して攻撃することができる。これにより、防御側は一般ユーザーと攻撃者の区別が困難になる可能性がある
緩和策
攻撃グループがクラウドサービスの大部分に不正アクセスするには、クラウドプロバイダーの認証に成功する必要がある。これを防止できれば侵害を阻止できる可能性があり、そのためにアドバイザリーでは次の緩和策を推奨している。
- 多要素認証(MFA)を使用する
- 多要素認証(MFA)を使用できない場合は強力なパスワードを設定する。また、「参加者、移動者、脱退者」プロセスを定期的に実施して不要なアカウントを特定し、無効にする
- システムアカウントとサービスアカウントには最小権限の原則を適用する
- 有効なサービスアカウントに見えるが絶対に使用しない「カナリアサービスアカウント」を作成する。このアカウントの使用は100%不正アクセスと評価できるため、このアカウントを監視して警告する
- セッションの有効期間をできるだけ短く設定する
- デバイス登録ポリシーを承認されたデバイスのみ登録許可するように構成する。可能であればゼロタッチ登録を使用するか、フィッシングやMFA疲労攻撃耐性のある強力な多要素認証(MFA)を使用する
このアドバイザリーはオンプレミス環境のみを使用している企業や組織を対象としていないが、オンラインサービスを提供している場合は一部の対策を参考にすることができる。システムの一部またはすべてをクラウド環境に移行している企業や組織のセキュリティ担当者はアドバイザリーを確認し、必要に応じて対策を実施することが望まれている。