Microsoftは3月8日、公式ブログにおいて、同社が1月19日に発表した、Midnight Blizzardとして知られるロシアが支援するグループによる攻撃の被害に関する最新情報を発表しました。

このグループは SolarWinds の侵害への関与で悪名高く、未公開のソースコードと、経営幹部間が電子メールでやり取りしていた顧客の機密情報に不正アクセスしていました。

2023年11月に行われたこの侵害では、Microsoft のセキュリティインフラの脆弱性が悪用されました。攻撃者はパスワードスプレー攻撃を行い、多要素認証を設定していない内部サービスアカウントをターゲットにし、企業の機密データリポジトリ、電子メール、その他のサーバに不正にアクセスできる状態を作り出しました。

こうした攻撃により、国家支援型アクターとサイバー犯罪者の両方が標的のネットワーク内に足場を継続的に維持し、凶悪な目的を達成するという戦術の狡猾さを強く思い知らされます。さらに、組織が環境全体とアタックサーフェス全体にわたって、一貫して均一に基本的なサイバーハイジーンを遵守しない場合、攻撃の成功を繰り返し許してしまうことを強く認識させられる事件でもありました。

攻撃者が使う手法は使い古されたものばかり

詳しく調べてみると、攻撃者が標的にした組織への侵入に用いる手法は、必ずしも目新しいものではありませんでした。むしろ、有効性がすでに実証された攻撃手法に執拗にこだわっています。

パッチが適用されていない脆弱性、コードの欠陥、設定ミス、さらには組織内の人為的ミスの悪用といった、これらすべてが彼らの手口の一部なのです。しかし、テクノロジーが進歩するにつれて、資産、アプリケーション、アイデンティティ、その他の潜在的なターゲットにおける脆弱性の数もかつてなく増え続けています。

その結果、攻撃者は、攻撃戦略に以前から使用されている手法を組み込んで最適化し、これらの新しく増えた標的に対するエクスプロイトを行っています。

自動化とAPIへの依存がリスクを高めている

組織内で自動化とAPIへの依存が高まっていることが、サイバー攻撃への対処を大きく複雑にする要因の一つとなっています。

自動化に対する注目度が高まるにつれ、人間以外のサービスアカウントも増加しており、多くの場合、これらには高い権限が付与されています。一方、これらは一般的には、通常のユーザーアカウントほど厳密には監視されません。

上述したMicrosoftの件において、侵害された認証情報はサービスアカウントでした。そしてこのアカウントでは、基本的なハイジーンポリシー要件、特にこの種のアカウントを保護するための多要素認証の使用が遵守されていなかったことも判明しています。

その結果、国家支援型の攻撃者は、こうした人間以外の資格情報をますます標的にするようになりました。これらを侵害して権限を昇格することで、重要なシステムやデータへの不正アクセスが可能になると認識したためです。こうした領域には、組織がより厳格で一貫して適用されるアクセス制御を実装し、これらのアカウントの資格の定期的な評価を実行する必要があります。これにより、 侵害のリスクを軽減および低減できます。

クラウドサービスを狙う攻撃への対抗策とは

同様に、攻撃者はクラウドコンピューティングへの移行も認識しています。クラウドサービスが主要なターゲットとなっており、組織のインフラ、アプリケーション、データベースへのゲートウェイとして悪用されています。

攻撃者は、かつてオンプレミスのサーバを標的にしていたように、現在はクラウドプラットフォームに軸足を移しています。これは、現代の ITエコシステムにおけるクラウドプラットフォームの中心的な役割と、DX(デジタルトランスフォーメーション)が進む中でクラウド環境によって発生した標的と攻撃手法の規模の巨大さを、彼らが認識しているからです。

組織はパッチ管理やネットワークアクセス制御などの基本的なサイバーセキュリティプラクティスを継続して行う必要があります。一方、資格情報を悪用した攻撃が顕著に見られることも理解する必要があります。

サイバーセキュリティ業界では長年にわたり、「アイデンティティは新たなペリメタ(境界線)である」と言われてきました。これは、他のセキュリティ制御や緩和策を通じてアクセスを提供してきた経験により、あらゆる種類の資格情報を保護することの重要性を認識しているためです。資格情報の保護を優先し、強力なセキュリティ対策を行うことで、組織は国家支援型攻撃者に対する防御を強化できます。

国家支援型のサイバー攻撃は、世界中の組織に対する大きな脅威として今後も存続するでしょう。テクノロジーが進化するにつれて、私たちが保護しなければならない環境の範囲、規模、複雑さも変化します。

この変化により、攻撃者はより多くのターゲットに対してより多くの戦術を悪用できるようになり、重要インフラ、データセット、サービスの侵害に成功する可能性も高まります。このように脅威が進化する状況を認識し、事前対応型のセキュリティ対策を導入することで、組織は侵害のリスクを軽減し、侵害が発生する前に重要な資産をより適切に保護できるようになります。

著者プロフィール

貴島 直也(きしま なおや)

Tenable Network Security Japan株式会社 カントリーマネージャー

アダムネット株式会社(現 三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ・拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張を牽引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティの実行を統括。