サイバー攻撃の手法は日々変化しているが、昨今では侵害を受けた場合にその原因が分からない事例も増えている。そのなかには、事前に漏えいした認証情報を使い正規アカウントになりすまして侵入した例も数多くあると推測される。したがって、通常のセキュリティ対策はもちろん、それに加えてこうした認証情報の窃取への対応も検討する必要がある。

9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」に、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏が登壇。正規アカウントのなりすましや、認証情報の窃取に特化した「Infostealer」など、今とくに注意すべきことについて説明した。

侵害の根本原因を突き止められない事例が急増

講演冒頭で根岸氏が「気になるデータがある」として紹介したのは、ランサムウエアの対策サービスなどを提供するCoveware社が発表した、ランサムウエア感染の原因に関するレポートだ。リモートアクセスやフィッシング、脆弱性の利用などが原因として挙げられているなかで、2021年頃から急速に増加して現在一位になっているのが「Unknown」、つまり原因が分からない事案だという。それが分からなければ対策ができず、復旧したとしても再び侵入される可能性が高くなる。したがって初期侵入の経路を考えるにあたって、これは大きな課題だ。

  • Coveware社が発表した、ランサムウエア感染の原因に関するレポート

一方、MITRE社が発表している攻撃のフレームワークを見ると、初期侵入の手口の中に「Valid Accounts」がある。これは強度の弱い認証情報や事前に漏えいした認証情報を使うことで、正規のアカウントになりすまして不正アクセスするものだ。この手口が厄介なのは、正規のアカウントとしてアクセスしてくるため、本当に正規なのか不正アクセスなのか判別しにくいこと、そして認証情報がいつどこから漏れたのかが分からないことだ。悪用されるよりはるか以前に漏えいした情報が、今になって使われた可能性もあるため、根本原因までたどるのが難しいのだ。

組織のアカウントが直接侵害される前に、フィッシングやマルウエアによって従業員が私用で使うGoogleやOutlookなどの個人アカウントが侵害され、そこから例えば個人のPCにある組織の認証情報が盗まれるといった例もある。

「リモートワークの拡大などにより、個人と組織のアカウントの境界があいまいになっていて、それが正規アカウントの侵害につながっているのではないでしょうか」(根岸氏)

最近の国内の事例でも、正規アカウントのなりすましによるものがいくつかある。2024年6月には、システム管理者アカウントの認証情報が不正に取得されたことが原因でランサムウエアに感染した事例、5月にはファイアウォールのリモートデスクトップの接続に使用するアカウントが悪用されてランサムウエアに感染した事例があった。また同年4月には第三者が社員アカウントを不正に入手してアクセスし、情報が漏えいした事例もあった。いずれの事例でも、認証情報やアカウントがどうやって不正に入手されたのかは明らかにされておらず、原因が特定できていない可能性もある。

根岸氏は「標的型攻撃でも注意を要する動きがある」と警鐘を鳴らす。従来の標的型攻撃では、侵入に成功するとそこから横に展開し、できるだけ長期間潜伏して情報を盗んでいく手口が一般的だった。しかし「Volt Typhoon」と呼ばれる新たな攻撃活動では侵入後に派手に動くことはせず、その環境に合ったツールを使うなどして痕跡を残さずに攻撃を行う。しかも、本格的な情報窃取をせず、アカウントの情報だけを盗んで攻撃を終えてしまうことが多いため、気付きにくいのだ。こうして盗み取ったアカウント情報は、今後のどこかのタイミングでなりすましによる侵入に利用される可能性が高い。

正規アカウントになりすます方法とは

では攻撃者はどうやって正規アカウントになりすますのか。考えられる理由のうち、もっとも分かりやすいのは推測可能なパスワードが使われていることだ。容易に推測されるようなパスワードを使うのは論外だが、実際には多く使われているため見直す必要があるだろう。また、複数アカウントで同じパスワードを使い回していると、第三者からいずれかのアカウント情報が漏えいしたときに、そのパスワードが攻撃者に使われてしまう。第三者からの漏えいの情報を収集しているHave I Been Pwnedというサイトを見ると、過去十数年で漏えいされたアカウントは141億件を超えていることが分かる。したがってパスワードの使い回しも避けなければならない。

そのほかに、クラウドサービスでアクセスキーを設定ファイルなどに入れてしまい、意図せず外部に公開してしまっていることもあるし、開発元にアクセスキーの管理を委託していて、使用しなくなってからも無効にしていなかったために悪用された事例もある。さらにVPN機器の脆弱性を悪用して、そこにある認証情報が盗まれることもある。パッチを適用して脆弱性は解消させたものの、それ以前に情報が盗まれていたのに気付かず放置していると、現在は対策ができていると思っていても、その認証情報を使って侵入されてしまうのだ。

認証情報を盗むことに特化したInfostealerに注意

そして、最近活動が盛んになっているものとして根岸氏がとくに注意を喚起しているのが、マルウエアのなかでも認証情報を盗むことに特化した「Infostealer」と呼ばれるものだ。これはアメリカの事例だが、Snowflakeという顧客データを分析するクラウドサービスで、大量の情報漏えいが相次いで起きている。チケット販売のTicketmasterからは5億6000万件、通信のAT&Tからは1億件、このほかにも大量に情報が漏えいして身代金を要求された。これらの事例を調査した結果、さまざまなInfostealerでアカウント情報が漏えいした形跡が見つかったといい、原因はInfostealerのマルウエアだった可能性が高い。

  • Infostealerによる情報漏えい

Infostealerには厄介な点がいくつもある。まず、認証情報を盗むだけでそれ以外のことはしないため、気付きにくいこと。そして盗んだ情報を専門に売買するブローカーやマーケットが存在し、なかにはサブスクリプション契約で認証情報を毎日知らせるサービスまであるという点だ。つまり買い手もたくさんいて、ランサムウエアやビジネスメール詐欺などでその情報が使われるのだ。さらに、盗まれた認証情報をマーケットから得た後、攻撃者がそれをいつ使うか分からないことも問題だ。かなり以前に盗まれた情報を使われた場合は追跡するのも難しく、侵入の原因を特定できなくなってしまうのだ。

現在の脅威を把握し、どのような対応ができるかを改めて見直す

ではInfostealerをどうやって防げばよいのか。従来のマルウエアと同様にゲートウェイの対策、エンドポイントで検知するなど、できる対策がないわけではないが、それでも情報が盗まれることはある。

「どんな情報が盗まれたか分からないし、いつ悪用されるかも分からないという状況で、何ができるでしょうか。悪用される前に、例えばパスワードをリセットするなどの対応ができればある程度は防ぐことができますが、その前に盗まれたことに気付けるでしょうか。そういった観点から、Infostealerの脅威を改めて認識していただきたいのです」(根岸氏)

根岸氏は最後に、初期侵入の方法は変化していくため、現在どのような脅威が発生しているのかをきちんと把握したうえで、今の自分たちの環境やサービスにおいてどういう対応ができるのかを常に考えてほしいと訴えかけた。

「皆さんの会社には、最新の脅威の動向を把握したうえで、それに対応できる体制やプロセスがありますか。それをぜひ見直していただければと思います」(根岸氏)