- 組織内に潜む脅威が攻撃チェーンの一端を担うことが増えています。この 1 年間で発生したインシデントでは、悪意のある内部関係者と自覚のない情報提供者が重要な役割を果たしています。
- ソーシャルエンジニアリングは、あらゆる組織がポリシーや手順で対策を講じ、2023 年以降のユーザー教育において重点領域として取り組む必要があります。
- この種のリスクを軽減するために、教育、ユーザー制御/アクセス制御、従業員が退職する際のプロセスや手順を適切に実施する必要があります。
従来の攻撃者は、脆弱性を悪用(エクスプロイト)することで悪意のあるペイロードを配布してきました。しかし、最近の攻撃活動では、エクスプロイトに代わってユーザーを利用した侵入手法がよく使用されるようになっています。当初は、Microsoft Office ドキュメントに仕込んだ悪意のあるマクロを有効にするようにユーザーを仕向ける手法が好んで使用されましたが、Microsoft 社がマクロの悪用対策を進めるにつれて、不正に利益を得るための新たな手法が開発されるようになりました。そこで利用され始めたのが、組織内に潜む脅威です。組織内に潜む脅威は、悪意のある内部関係者と自覚のない情報提供者の 2 つに大きく分けられます。セキュリティ担当者や組織の IT 管理者は、この 2 つの脅威を検出して防止するために、それぞれ特有の課題に取り組む必要があります。
悪意のある内部関係者
ユーザーが悪意のある内部関係者になる理由はさまざまです。その多くは、残念なことに今も解消できていません。最も分かりやすい理由は、経済的な困窮です。多額の借金を抱えているユーザーにとって、勤務先への侵入に加担して報酬を得るのは金策として魅力的である可能性があります。ダーク Web フォーラムでは、勤務先のネットワークにアクセスできることを売り込むユーザーが後を絶たない状況が 10 年以上にわたって続いています。現在の社会情勢は、残念ながら、この種の侵害を助長する方向に傾いています。経済は景気後退の瀬戸際にあり、インフレ率は高水準で推移しており、暗号通貨市場は 2021 年後半の最高値から 70% も下落しています。こうした要因が相まって、従業員が抗いがたい状況に陥り、企業がリスクにさらされる可能性があります。
セキュリティクリアランス(適格性評価)で不合格になる米国の事例の半分近くが経済的な問題に関係していることからも明らかなように、経済的な困窮は従業員による侵害を考えるうえで深刻な懸念事項となっています。これは、クリアランスが取り消される一般的な要因にもなっており、そのリスクの高さが明確に示されています。また、経済的な困窮が攻撃者に利用される可能性もあります。問題を抱えていることを公表すると脅されたユーザーが、本来行わないような行為を強要される場合があります。
従業員が勤務先を裏切る要因は、経済的な困窮だけではありません。今日の二極化が進んだ政治情勢では、勤務先が示す政治的スタンスが原因となって、従業員が勤務先に悪意のある行為を働くリスクが常に存在します。法案やその他の社会問題に対して組織が取る行動(あるいは行動を起こさないこと)が、そうした行為の引き金になる可能性があります。このリスクは、経済的な困窮ほど一般的ではありませんが、2024 年の大統領選挙が近づく現在の政治情勢を乗り切ろうとしている雇用主に固有の課題をもたらしています。
企業にとって最後のリスクになるのが、最近退職した従業員です。退職が双方の合意に基づいていない場合は、特にリスクが高くなります。辞職させられたり解雇されたりした従業員は、自ら手を下す可能性があります。通常、組織に大混乱をもたらすような破壊行為を企てるのは、そうした人物です。
悪意のある内部関係者は、リンクをクリックしたり、添付ファイルを開いたり、USB ドライブを接続したり、ログイン情報を提供したりする程度のことなら厭わずに行うでしょう。最悪のシナリオは、悪意のある内部関係者が高度なアクセス権を持っている場合で、壊滅的な影響を受ける可能性があります。組織内に潜む脅威のうち、組織が主に直面するのはこの悪意のある内部関係者ですが、自覚のない情報提供者にも備える必要があります。自覚のない情報提供者は、通常、ソーシャルエンジニアリングを通じて攻撃者に利用されます。
自覚のない情報提供者
組織内に潜む脅威のもう 1 つのカテゴリが、自覚のない情報提供者です。自分が悪意のある行為を働いていることに気付いていない可能性があり、対応がより困難となっています。ソーシャルエンジニアリング攻撃は増加傾向にあります。エクスプロイトの検出や防止が強化され続けていることから、ソーシャルエンジニアリングが攻撃の過程で重要な役割を果たすことが多くなっています。ソーシャルエンジニアリング攻撃は、ユーザーを利用して侵入を果たそうとするもので、通常は何らかの方法でユーザーを騙します。この攻撃は、シスコに影響を与えた最近公開されたインシデントでも重要な役割を果たしました。ソーシャルエンジニアリングの手口が利用される場面はいくつかあります。たとえばビジネスメール詐欺ではソーシャルエンジニアリングが繰り返し使用されています。問題について詳しく話し合いたいので電話番号を教えてほしいという要求を最初に送ってくることも珍しくありません。高度な能力を備えたグループには特にその傾向があります。
ソーシャルエンジニアリングを利用したビジネスメール詐欺の例
標的と電話で話すことができれば、はるかに簡単に金銭を詐取できることに攻撃者は気付いています。人は電話越しだと協力的になり、騙しやすくなる傾向があるからです。ユーザーを自覚のない情報提供者に仕立てる攻撃手法は、これだけではありません。
多要素認証(MFA)の導入が進むにつれて、攻撃者も MFA をうまく回避するようになっていますが、その際にもソーシャルエンジニアリングがよく利用されています。攻撃者が組織の IT サポートやセキュリティ部門を装って被害者に電話をかけ、ソーシャルエンジニアリングを駆使して、被害者のデバイスに届く MFA リクエストを許可させる事例が Talos の調査で数多く見つかっています。最近公開されたシスコに対する攻撃でも、これに似た手口が使用されています。この巧妙な攻撃では音声フィッシングが重要な役割を果たしており、標的と電話がつながりさえすれば簡単に騙せることが分かります。
ソーシャルエンジニアリング攻撃が相次いでいるもう 1 つの分野が、暗号通貨と Web 3.0 です。暗号通貨の価値は最近急落しましたが、攻撃の勢いは衰えていません。Cisco Talos では、Web 3.0 で発生している詐欺の手口について詳しく説明していますが、NFT/暗号通貨のユーザーに対するソーシャルエンジニアリング攻撃は増え続けています。アカウントに問題があることを投稿したユーザーに犯罪者が接触してくることが多くなっています。犯罪者は、ユーザーを騙してウォレットの有り金を奪い取ろうと待ち構えています。こうした攻撃は広く行われています。MetaMask の問題に関する投稿をしたことがあれば分かるように、犯罪者はそうしたユーザーをすぐに見つけます。ほとんどの場合、攻撃者は、不審に思われないようにしながらフォームへの入力を標的に求めます。攻撃者が狙っているのはユーザーのニーモニックパスワードです。それを入手すれば、被害者にほとんど頼らずにウォレットから全額を引き出すことができます。
MetaMask のニーモニックパスワードを求める「サポート」フォームの例
組織内に潜む脅威に対する防御
こうした組織内に潜む脅威は、さまざまな理由から防御が難しくなっています。まず、それらの脅威は、ネットワークへのアクセスが許可され、有効なログイン情報を持っていることが多いことが挙げられます。そこで役立つのが、ユーザー制御やアクセス制御などの従来のセキュリティ制御です。組織は、業務上必要な最小限のアクセス権のみをユーザーに付与する必要があります。そうすることで、アクセスすべきでないドキュメントやシステムにアクセスできなくなります。アラートロジックを適切に設定すれば、アクセスできないものにアクセスしようとしたユーザーがいるとアラートが生成されます。ユーザーは間違ってクリックしてしまうこともありますが、短期間に 15 ~ 20 回も拒否されているユーザーは調査する必要があります。
また管理者は、多層防御が組織に適切に導入されており、境界を通過するトラフィックや垂直方向に流れるトラフィックが分析されているだけでなく、組織全体が横断的に検査されていることも確認する必要があります。そうすることで、攻撃者に利用されているユーザーがいれば、故意かどうかに関係なく、検出してブロックできるようになります。
また、定期的な監査も重要な役割を果たします。テストなどの目的でアカウントを作成して忘れてしまうことはよくあります。この種のアカウントを見逃していると、壊滅的な被害につながる可能性があります。さらに、ユーザー/グループに付与されているアクセス権を定期的に監査することで、アクセス権の溜め込み、グループの無秩序な増加、権限のクリープといった問題を排除でき、必要以上のアクセス権をユーザーが持たないようにすることができます。
金融取引を扱う組織では、抑制と均衡の仕組みが機能していることを確認して、1 人の人物が誰の監視や承認も受けずに電信送金などの重要な資金移動を開始したり完了したりできないようにします。この種の統制が行われていない組織が、ビジネスメール詐欺などの金銭目的のソーシャルエンジニアリング攻撃を受けて、多額の資金を失った事例は枚挙にいとまがありません。
最後に、従業員が退職するときに何をすべきかという問題があります。アカウントを無効にしたり、VPN を通じて企業にリモート接続できないようにしたりするなど、明らかに行う必要がある手順はいくつかありますが、ユーザーが既存の接続を一切利用できないことを確認する手順はそれほど明白ではありません。ハイブリッドワークが普及している今日の環境では、ラップトップなどのシステムを含む企業資産に引き続きアクセスできる可能性があります。それらのシステムをリモートでワイプするメカニズムを導入することも重要になります。
ほかにも、行わなければならない手順はあります。特に必要なのが、アクセスレベルの高いユーザーに対する対策です。共有ログイン情報はローテーションが必要です。すべてが完璧な世の中であればこのような問題は存在しないのですが、ログイン情報を共有する組織で働いた経験は誰もが持っています。最近退職したチームメンバーが共有ログイン情報を悪用することはよくあります。同様に、クラウドログイン情報もローテーションします。現在、ほぼすべての組織がデータの一部またはほとんどをクラウドでホストしており、組織の外部からクラウド上のデータにアクセスする手段が存在しています。主要な従業員が退職するときは、それらのアクセス手段に対処する必要があります。
最後の手順として、無効にしたユーザーからのログイン試行を検出するロジックを作成します。これによって、元従業員がアクセスを確立しようとしている可能性があることを管理者が少なくともある程度把握できます。同様に、管理者やセキュリティ担当者は、どのサービスアカウントも直接ログインできないようにする必要があります。これはグループポリシーを使用して構成できます。構成が誤っていると、悪意のある内部関係者に悪用されて高いアクセスレベルを取得され、さまざまな侵害を受ける可能性があります。
自覚のない情報提供者については、ユーザー教育が重要になります。定期的に実施するレッドチームなどの侵入テストにソーシャルエンジニアリング攻撃を含める必要があります。さらに、ソーシャルエンジニアリングについて教育するための特定のトレーニングを従業員に施す必要があります。このトレーニングでは、通常の MFA アクティビティの流れ、サポートがユーザーに連絡するときの方法、共有してはならないものを教育する必要があります。最後に、金融機関/金融部門では、送金の正しい処理方法や調査方法も理解させる必要があります。
拡大し続ける組織内に潜む脅威
Talos が行っているインシデント対応業務の中でも、悪意のある内部関係者やソーシャルエンジニアリングの手口に引っかかった自覚のない情報提供者に関連する対応業務は、この半年から 1 年の間に顕著に増加しています。エクスプロイトの試行を検出して阻止する方法が向上し続け、マクロを使用した攻撃が徐々に通用しなくなるにつれて、攻撃者の選択肢も減ってきています。
攻撃者は常に最もセキュリティを突破しやすい経路を選ぶことに注意してください。従来は脆弱性の悪用が主流でしたが、最近は不正ドキュメントが盛んに使用されています。今後は、ソーシャルエンジニアリング攻撃や悪意のある内部関係者を利用した事例が増えていく可能性があります。残念ながら、攻撃者に支払われる金額からも分かるように、攻撃による収益は莫大な額に上ります。悪事に進んで加担するユーザーを攻撃者が見つけるのは、今後も難しくないものと思われます。
本稿は 2022 年 09 月 22 日に Talos Group のブログに投稿された「Insider Threats: Your employees are being used against you」の抄訳です。