サイバー攻撃の手法は日々変化しているが、昨今では侵害を受けた場合にその原因が分からない事例も増えている。そのなかには、事前に漏えいした認証情報を使い正規アカウントになりすまして侵入した例も数多くあると推測される。したがって、通常のセキュリティ対策はもちろん、それに加えてこうした認証情報の窃取への対応も検討する必要がある。
9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」に、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏が登壇。正規アカウントのなりすましや、認証情報の窃取に特化した「Infostealer」など、今とくに注意すべきことについて説明した。
侵害の根本原因を突き止められない事例が急増
講演冒頭で根岸氏が「気になるデータがある」として紹介したのは、ランサムウエアの対策サービスなどを提供するCoveware社が発表した、ランサムウエア感染の原因に関するレポートだ。リモートアクセスやフィッシング、脆弱性の利用などが原因として挙げられているなかで、2021年頃から急速に増加して現在一位になっているのが「Unknown」、つまり原因が分からない事案だという。それが分からなければ対策ができず、復旧したとしても再び侵入される可能性が高くなる。したがって初期侵入の経路を考えるにあたって、これは大きな課題だ。
-
Coveware社が発表した、ランサムウエア感染の原因に関するレポート
一方、MITRE社が発表している攻撃のフレームワークを見ると、初期侵入の手口の中に「Valid Accounts」がある。これは強度の弱い認証情報や事前に漏えいした認証情報を使うことで、正規のアカウントになりすまして不正アクセスするものだ。この手口が厄介なのは、正規のアカウントとしてアクセスしてくるため、本当に正規なのか不正アクセスなのか判別しにくいこと、そして認証情報がいつどこから漏れたのかが分からないことだ。悪用されるよりはるか以前に漏えいした情報が、今になって使われた可能性もあるため、根本原因までたどるのが難しいのだ。
TP-Link製ルータの利用を禁止する可能性、米国当局が調査
