「最近の攻撃者は、ハッキングはしないでログインする」という話をきっと耳にしたことがあるでしょう。
攻撃者は正当(有効)なユーザーアカウントの詳細情報を入手(または窃取)し、まずシステムにアクセスしてそのまま潜み続け、権限を昇格させて、ネットワークのより多くの領域に「ログイン」できるようにします。
残念なことに、正当なアカウントを使用する手法は、脅威をめぐる状況において広く利用されています。この手法は、Talos が 2023 年に脅威テレメトリで観測した MITRE ATT&CK の手法の中では 2 番目に多いものでした。昨年の Talos インシデント対応チームのすべての業務の 26% は、正当なアカウントの使用に関するものでした。
2023 年第 4 四半期のインシデント対応業務に関する数字で見ると、初期アクセスを獲得するために最も多く使用されたのは、流出したログイン情報を正当なアカウントで使用する方法と、一般公開されている Web アプリケーションを悪用する方法が同率で 1 位でした。また、悪意のあるツールの 36% は、ログイン情報へのアクセスと収集に重点を置いたものでした。詳細については、Talos が発行しているインシデント対応の四半期動向レポートをご覧ください。
この種の攻撃が蔓延している背景には、いくつかの重要な理由があります。
- 1.ほとんどの企業が、サイバー攻撃は「外部から」やってくると考えている。
正当なアカウントを使用してログインする攻撃は、より「インサイドアウト」の(内側から外側への)アプローチをとります。攻撃者は最初に初期アクセスを獲得すると、こっそりネットワーク内部に入り込んで侵入を拡大しようとするので、検出を逃れる可能性が高くなります。ネットワークがセグメント化されていない場合はなおさらです。簡単に言うと、脆弱性を悪用することは確かに初期アクセスの獲得につながりますが、攻撃者は認可されたログイン情報を使用することで、防御をすり抜けて侵入を拡大できるようになります。
- 2.盗まれたログイン情報がダーク Web で販売される。
実際、盗んだ情報を最高入札者に売ることだけを目的にログイン情報を窃取している攻撃者もいます。それらの情報を購入する攻撃者は、より規模の大きい標的型のランサムウェア攻撃やスパイ活動の目的で、情報を使用する可能性があります。高い権限を持つ人(金融業界で働く人や、ネットワークデバイスにアクセスできる人など)のアカウントの詳細は高額で取引されます。
- 3.攻撃者が、現代の働き方のトレンドを常に把握している。
システムにリモートでアクセスすることが増え、個人のデバイスで会社のシステムにアクセスするようになっています。また、クラウドソリューションはますます一般的になってきています。攻撃者の視点からすると、攻撃に対する考え方は変化しています。「ログインするだけなのに、わざわざシステムに侵入する必要があるだろうか?」というわけです。
このようなテレワークのトレンドについて言うと、現在、シスコの組織全体では毎月(Cisco Duo を介して)15 億件の多要素認証の要求があります。Duo はそれぞれの認証要求について、信頼できるユーザーからの要求なのか、攻撃者からの不正な要求なのかを評価します。
Talos インシデント対応の四半期動向レポートによると、MFA(多要素認証)が導入されていない(または導入が不十分である)ことは、多くの場合にセキュリティにおける最も脆弱なポイントになっています(2023 年の第 4 四半期も、脆弱性の原因トップは MFA 関連)。シスコが 2023 年に買収した Oort 社によると、企業顧客の 40% が MFA を導入していないか、脆弱な MFA(平文の SMS など)を使用しています。このことが、攻撃者が初期アクセス獲得のための主な手段として正当なアカウントを使用するという問題の一因となっているようです。
では、攻撃者はどのようにして正当なアカウントのログイン情報を使って、効果的に「ログイン」しているのでしょうか?ここでは、Talos の脅威テレメトリとインシデント対応業務で頻繁に観測されたいくつかの手口を紹介します。
パスワードストアから盗まれたログイン情報
2023 年に Talos が確認した最も一般的な MITRE ATT&CK 手法のトップ 20 では、パスワードストアからのログイン情報の窃取が第 4 位でした。これは、ユーザーがさまざまなアプリケーションや Web ブラウザにパスワードを保存している場合に発生します。攻撃者は共通のパスワード保存場所を横断的に検索し、そこに保存されているパスワードを探します。長年攻撃者が使用してきた手口ですが、現在もこの手口が頻繁に使用されていることから、組織や個人が、Web ブラウザのパスワード保存機能ではなく、パスワードマネージャーを使用する必要性が明らかになっています。
フィッシング攻撃により偽のログインポータルから盗まれたログイン情報
攻撃者は Microsoft Office 365 などの一般的なログインポータルを複製しようとすることが多く、アカウントに何らかの問題があるとして、ユーザーにログインを促すフィッシングメールを送信することがあります。メールにリンクされている Web ページは一見すると正規のものに見えますが、実は正規の Web ページをコピーした偽のページで、背後にはユーザーのアカウント情報を取得するために設計された悪意のあるソフトウェアが動いています。
入力キャプチャ
入力キャプチャは、MITRE ATT&CK 手法のトップ 20 の中で 7 位でした。この手法では、攻撃者が方法を駆使してユーザーが入力したログインデータを取得します。最も一般的なタイプの入力キャプチャはキーロギングであり、攻撃者はユーザーのログイン情報を傍受するために、ユーザーがキー入力する際に内容を記録します。キーロギングが発生するのは通常、フィッシング攻撃やその他のアクセス方法によって、ユーザーが気づかないうちにログイン情報を盗まれた後です。
ケルベロスチケットの盗用または偽造
ケルベロスチケットの盗用は、Talos が 2023 年に観測した MITRE ATT&CK 手法の中で 9 番目に多いものでした。ケルベロスは、サービスリクエストを認証し、セキュアな接続のためのチケットを付与するネットワーク認証プロトコルです。攻撃者はこのチケットを盗用(または偽造)し、不正アクセスを可能にしようとします。
休眠アカウントの標的化
2022 年の Oort 社のデータによると、休眠アカウントは平均的な企業の全アカウントの約 4 分の 1 を占めており、これらのアカウントが定期的に(平均して月 500 回以上)攻撃の標的になっています。攻撃者は、普段は使用されていないけれども、まだネットワークにアクセスできるアカウント(退職した従業員や臨時の契約社員のアカウントで、アクセス権がまだ削除されていないものなど)を探します。
情報窃取マルウェア
情報窃取マルウェア(インフォスティーラー)は、Talos のインシデント対応業務で頻繁に観測されるもので、攻撃者はこれを使用して、財務情報や知的財産などのあらゆる種類の機密情報にアクセスする可能性があります。最も一般的なものは、情報窃取マルウェアを使用して、ユーザーのログイン情報へのアクセスと収集を行うケースです。
ブルートフォース攻撃
攻撃者がログイン情報の一部を知っている場合、ブルートフォース(総当たり)攻撃を試行してパスワードを何回も推測しようとする可能性があります。攻撃者は、前述のような他の攻撃や情報漏洩から得た知識を使用する可能性があるため、これらの推測はすべてがランダムであるとは限りません。このことから、連続してログインに失敗する回数について制限が必要であることは明らかです。
パスワードスプレー
パスワードスプレーはブルートフォース攻撃の一種ですが、攻撃者は 1 つのシステムでパスワードをブルートフォースする(総当たりで試す)のではなく、情報漏洩から得たパスワードを使用します。このとき攻撃者は、ユーザーがパスワードを再利用することを期待して、よく使用される Web サービスでパスワードを試してみます。こうすることで、攻撃が検出されたり、パスワードがブロックされたりする可能性が低くなります。
QR コードフィッシング
公開されている報告書によると、最近、ユーザーのログイン情報を取得するための QR コードフィッシングが増加しています。Talos インシデント対応チームは先ごろ、ログイン情報が窃取されたという通報を受け、インシデントへの対処を支援しました。複数の従業員の会社の電子メールに同じフィッシングメールが送付されており、そのメールには悪意のある QR コードが記載された PDF が添付されていたというものです。一部の従業員が自分のスマートフォンを使用してコードをスキャンしたため、攻撃者はその従業員のログイン情報を取得して組織のシステムにログインできるようになりました。スマートフォンにログが残っていないので、攻撃者がログイン情報を取得できた正確な理由は不明ですが、パッチが適用されていないブラウザにパスワードが保存されていたことが原因の 1 つである可能性があります。
ユーザーの追跡
前述した手口のいくつかは、不正アクセスの検出を可能にする、組織のネットワーク環境内の防御システムのツールや設定によって対処することができます。ただし、ユーザー自身を操ったり、操作を強要したりしようとするアイデンティティ関連の攻撃も多く存在します。そのため Talos としては、ユーザーが現在どのように狙われているのかについても説明しておく必要があります。
Talos のアウトリーチチームの責任者である Nick Biasini に、セキュリティに関して今後 1 年間に注意すべきことを尋ねたところ、ユーザーを標的にする傾向が強まっていて、正当なログイン情報を使用してシステムにアクセスしようとする攻撃者の試みが執拗になっているとのことでした。
ログイン情報を取得するために使用されるマルウェア自体は必ずしも非常に巧妙に作られているわけではないとはいえ、攻撃の激しさに関わる部分が多いと述べています。Nick の洞察の全文は、以下の動画でご覧いただけます。
フィッシングメールは、攻撃者が被害者を危険にさらす最も一般的な方法の 1 つです(Talos が 2023 年に観測した初期アクセス手段の第 3 位であり、Talos インシデント対応チームの調査結果では長年にわたって常に上位にランクされている脅威です)。昨年 1 年間だけを見ると、Talos のインシデント対応業務で特定された初期アクセス手段の 25% がフィッシングメールでした。これは米国政府の調査結果と一致しており、米インターネット犯罪苦情センター(IC3)に 2022 年に報告された最多のインシデントはフィッシングだったことを FBI が指摘しています。
フィッシングやソーシャルエンジニアリングというと、悪意のあるリンクをクリックしたらマルウェアが起動するというイメージを持つ人が多いでしょう。しかし、これらの攻撃にはより深い側面があり、ユーザーを操って攻撃者の言いなりにさせることがあります。これらはインサイダー攻撃として知られています。
インサイダー攻撃
従来の悪意のあるインサイダーとは、組織のネットワークに対して故意に損害を与えようとする従業員のことで、その理由は金銭的な利益や組織自体への不満でした。このような事例もいまだに観測されていますが、最近では「無自覚なスパイ」という別のカテゴリのインサイダー攻撃を目にすることが増えています。
無自覚なスパイの事例では、攻撃者はソーシャルエンジニアリングによってユーザーを利用し、通常は何らかの方法で操って自分の言いなりにさせます。
よくあるのは、攻撃者が何らかの形でユーザーを巻き込むようなストーリーをでっちあげる場合や、早急に解決しなければならない問題がある場合です。巧妙な攻撃者の場合は特にそうですが、問題について詳しく話し合うために電話をかけるよう標的のユーザーに求めることがよくあります。
いったん電話をかけてしまうと、残念ながら攻撃者の指示どおりに行動するよう説得される可能性が高くなります。具体的には、デバイスにログインして何かを再設定してしまう、重要なアカウントの詳細を漏洩させてしまう、といったことです。
推奨事項
アイデンティティ関連の攻撃は防御が困難です。正当なログイン情報の悪用に対処する必要があります。ユーザーがアカウントの詳細を共有するよう、または悪意のある活動をするよう強要されている場合、その真相を解明することは特に困難です。ただし、Talos で推奨するいくつかの方法があります。
- ユーザーのアクセス権を制限します。ユーザーには、業務を行うのに必要なアクセス権しか必要ありません。
- ブルートフォースによるアクセスを防ぐために、ログインの連続失敗回数を制限します。
- ネットワーク全体で確実に MFA が使用されるようにします。
- IT 管理者は、ネットワーク全体で水平方向に検査が行われるようにします。垂直方向のトラフィックの検査だけでは不十分です。そうすることで、水平方向に移動しようとする攻撃者を防御することができます。
- 防御の一部が失敗しても他の防御で異常や侵入を検出できるよう、徹底した防御アプローチを導入します。
- 定期的に監査を行い、ネットワークから休眠アカウントを確実に削除します。これにより、攻撃者が休眠アカウントを使用して、検出されずにアクセスしようとすることを防御できるようになります。また、新しいシステムをテストする目的でアカウントが設定されることがよくありますが、これらのテストアカウントは必ず一時的なものにします。プロジェクトの終了時にテストアカウントを自動で無効にする手順を設定します。
- さらに、組織を辞めた人のアカウントを無効にし、リモートアクセス(VPN でのアクセス)を確実に削除します。
- 金融取引の処理について抑制と均衡のシステムを導入し、1 人の担当者が追加承認なしに電信送金を開始・完了できないようにします。これは、決済担当者に対するソーシャルエンジニアリング攻撃を減らすのに役立ちます。
- 正当なログイン情報の悪用に対処するには、包括的な一連のセキュリティ対策が必要です。すべてのデバイスとアプリケーションに対するすべてのユーザーの接続を検証する、ゼロトラストアーキテクチャのアプローチを検討します。これにより、盗まれたログイン情報を使用し、検出されずにネットワーク全体で活動する攻撃者を防御できます。
そして最後になりますが、侵入の証拠を積極的に探すことを検討するようお勧めします。侵入された可能性があることに気づけるだけでなく、ネットワーク全体のセキュリティを改善できる領域を発見できる可能性があります。この詳細については、Talos のブログ「基本的なセキュリティ対策を超えて:積極的な防御策の導入」をご確認ください。
本稿は 2024 年 02 月 06 日に Talos Group のブログに投稿された「How are user credentials stolen and used by threat actors?」の抄訳です。