ブルートフォース攻撃は、サイバー脅威の中で最も基本的な攻撃の 1 つです。技術的には、キーボードと時間があれば誰でも攻撃を仕掛けることができます。目的の Web サイトで何通りものユーザー名とパスワードの組み合わせを試し、ブロックされるまで続ければよいのです。
Nick Biasini と私は、組織がブルートフォース攻撃から自衛できる方法について議論
しました。というのは、検出が通常の範疇を超えるからです(たとえばアンチウイルスプログラムで攻撃を検出できるわけではありません)。まずは、強力なパスワードルールの導入から始めるのがよさそうです。意外でもないのですが、攻撃者に限らず誰でも推測できそうな非常にわかりやすいパスワードが今でも使用されていることがあるのです。
Cisco Talos は、SSH や VPN サービスを標的にした最近のブルートフォース攻撃の増加に関するアドバイザリとともに、攻撃に関連する IP アドレスのリストと、ネットワークやサービスにアクセスするために攻撃者が通常使用するユーザー名とパスワードのリストを公開しました。
リストには、昔からよくあるものも記載されています。常に見かけるのは、「Password」や Passw0rd(「O」ではなく 「0」)、「123456」といったパスワードです。これは、ユーザーがいまだ教訓を学んでいないということです。十分に資金のある攻撃者が、まるでパロディ映画に出演しているかのように「さてと、『123456』を使ってこのマシンに『ハッキング』してみるか」と言っているところを想像するとなんだか笑えますが、仮に誰かの本名から攻撃者がユーザー名をすでに推測できているとしたらどうでしょうか。そのパスワードがどこかで使用されている可能性がないわけではないのです。
他にもいくつか気になるパスワードがありました。たとえば「Mart1x21」です。単に「Martin」という名前の人物なのか、それとも 3 月をもじったものなのか、私には分かりません。また「Spring2024x21」や「April2024x21」のようなパスワードもあります。こうした脆弱なパスワードを使っている人たちは、「April2024」に 3 文字を追加することで本当に攻撃者を撃退できると考えているのでしょうか。
このリストを見ていると、インターネットのパスワード問題に対する潜在的な解決策とは何なのか、また、脆弱なパスワードやデフォルトのパスワードを使用することの危険性についてユーザーを教育し、警告するという常に繰り広げられている戦いについて考えさせられます。
パスワードレス化が解決策の 1 つであることは確かです。ログインするためのパスワードがなければ、攻撃者が推測できるテキストベースのものは何もないからです。
最近目にした最良の解決策は、英国が実際に、ハードウェアおよびソフトウェアのメーカーに強力なセキュリティ基準の導入を求める法律を制定したことです。先月施行された PSTI(Product Security and Telecommunications Infrastructure)法には、企業が従わなければならないさまざまなセキュリティ保護が盛り込まれていますが、これには、新規アカウントの登録時にデフォルトのパスワードを変更するようユーザーに強制し、「Admin」や「12345」のように推測しやすいパスワードの使用を阻止する強制的なパスワードルールも含まれています。
ユーザーが自分でこうしたログイン情報を使用するのをやめてくれればよいのですが、まだ誰かがパスワードに「Password」を使用していると攻撃者が考えているのなら、実際そうなのでしょう。
重要な情報
2024 年第 1 四半期の Talos インシデント対応チーム(Talos IR)の対応業務では、ここ数四半期で初めてビジネスメール詐欺(BEC)の脅威が最も多く確認されました。最新の Talos IR 四半期動向レポートによると、ビジネスメール詐欺は第 1 四半期すべての対応業務の 46% を占め、2023 年第 4 四半期から大幅に急増しています。脅威の検出数で 2023 年第 4 四半期に最多となったランサムウェアは、11% 減少しました。Talos IR はまた、データ窃取による恐喝、VPN を標的としたブルートフォース攻撃、以前から確認されているコモディティ型ローダーの Gootloader など、対応業務のなかでさまざまな脅威を確認しています。
注意すべき理由
詐欺犯はビジネスメール詐欺の手口を使用して企業の正当なメンバーになりすまし、他の従業員や第三者にフィッシングメールを送信します。多くの場合、悪意のあるペイロードに誘導するか、金銭を盗むスキームを設計します。最も多く確認された防御回避手法はメールを隠す受信トレイルールの使用で、今四半期の対応業務の 21% を占めました。これはおそらく、ビジネスメール詐欺とフィッシングへの対応が増加したことによるものです。これらはすべて、Talos IR のレポート全文に記載されているものであり、現場からの貴重なインサイトです。
必要な対策
既知の IOC(侵入の痕跡)がいくつかあるので、攻撃の標的になっている可能性が疑われる場合は検索することができます。MFA(多要素認証)が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つです。Cisco Duo など何らかの MFA の導入を、すべての組織が検討する必要があります。MFA とシングルサインオンシステムを導入すれば、信頼できる当事者だけが企業のメールアカウントにアクセスできるようになるので、ビジネスメール詐欺の拡大を防げます。最近の Talos IR のインシデント対応業務から学べるその他の情報については、こちらの 1 ページの概要か、こちらのブログ記事をご覧ください。
今週のセキュリティ関連のトップニュース
UnitedHealth グループの最高経営責任者が水曜日、Change Healthcare 社に対する最近のサイバー攻撃に関して米国議会で証言。Change Healthcare 社は今年初めにデータ侵害を受け、数週間にわたって業務がほぼ完全に停止しました。データ侵害により、数百万人の患者の記録や個人情報がアクセスされた可能性があります。Change Healthcare 社は、アメリカの全患者記録の 3 分の 1 を管理しており、診療所や病院、その他の医療機関での年間 150 億件以上の取引を処理しています。議員からは UnitedHealth 社が国の医療システムに関与しすぎているのではないかと疑問の声が上がりました。システム障害のため一部の医療従事者への給与の支払いが 1 か月以上滞り、また多くの医療従事者が診療所を維持するために自己資金を投入しなければなりませんでした。UnitedHealth 社の最高経営責任者は、同社はいまだ攻撃の全容を把握するために取り組んでおり、影響を受けた個人への最適な通知の仕方について米政府機関と話し合っていると議会で述べました。この公聴会では、アメリカの医療業界の統合に関連する話や、一部グループが患者の基盤を支配しすぎているのではないかという話も出ました。(情報源:The New York Times、CNBC)
有名な電話追跡アプリの脆弱性が発覚、全ユーザーの位置情報を閲覧できる可能性も。ユーザーがデバイスの正確な位置を閲覧できる iSharing に、アプリのサーバーによるユーザーデータアクセスの適切なチェックを妨げる脆弱性があることを、あるセキュリティ研究者が最近発見しました。iSharing は、友人や家族の位置を追跡したいユーザー向けのアプリとして、またデバイスを紛失したり盗まれたりした場合の追加のセキュリティとして宣伝されています。この脆弱性により、ユーザーの名前、プロフィール写真、メールアドレス、電話番号も流出しました。脆弱性を発見した研究者はアプリ上で新規アカウントを作成した後、ほぼすぐに、コンセプト実証のエクスプロイトを示すことができました。TechCrunch 社の取材を受けた iSharing の開発代表者は、同社のログには研究者が公表する以前に脆弱性が悪用された形跡はなかったと説明しています。この種のアプリは「ストーカーウェア」としても使用される可能性があります。この場合、追跡対象のユーザーを知っている人物が、ユーザーの携帯電話にアプリをひそかにダウンロードし、それを使ってリモートで位置を追跡します。(情報源:TechCrunch)
攻撃者が GitHub のコメントにマルウェアを隠蔽、悪意のあるコードを Microsoft 社のリポジトリに関連した URL に見せかけ、信頼性のあるファイルとして偽装。これを脆弱性とみなすセキュリティ研究者もいますが、Microsoft 社は GitHub を使用する際の単なる機能であるとしています。これまでのところ、攻撃者は主に Microsoft の URL に見せかけるためにこの機能を悪用していますが、理論的にはあらゆる GitHub リボジトリで説得力のある誘導の手口として使われる可能性があります。ユーザーは GitHub にコメントを残すときにファイルを添付できます。ファイルは GitHub の CDN にアップロードされ、一意の URL を使用して関連プロジェクトに関連付けられます。GitHub では、保存されていないコメントにファイルを追加すると、その添付ファイルをダウンロードするためのリンクが自動的に生成されます。これにより、攻撃者は管理者に知られることなく、任意のリボジトリにマルウェアを添付できます。すでにこの方法は悪用されており、攻撃者が GitHub でホストされている Microsoft 社の「vcpkg」リポジトリと「STL」リボジトリにコメントを残して情報窃取型のトロイの木馬である「RedLine」を添付し、配布しています。悪意のある URL はコメントを削除しても機能し、GitHub が生成した URL を攻撃者が再利用することができます。(情報源:Bleeping Computer、Dark Reading)
Talos が発信している情報
- RSAC 2024 での Cisco Talos
- サイバースパイ攻撃「ArcaneDoor」、シスコのゼロデイを悪用
- 政府が注意喚起を発表、シスコのセキュリティボックスの欠陥を突く国家支援攻撃グループを発見
- 従業員管理システムの脆弱性、リモートのコード実行やログイン情報の窃取につながる可能性も
- 注目のセキュリティ研究者:攻撃グループの動機を研究する James Nutland から APT の現状について学べること
Talos が参加予定のイベント
RSA(5 月 6 日 ~ 9 日)
カリフォルニア州サンフランシスコ
ISC2 SECURE Europe(5 月 29 日)
アムステルダム(オランダ)
Talos インシデント対応チームの Gergana Karadzhova-Dangela が「EU におけるサイバーセキュリティ人材とスキルのギャップを減らすための ECSF の活用」というパネルに参加します。Karadzhova-Dangela は、EU のサイバーセキュリティ フレームワークの開発に参加しており、新しい人材の募集および採用の方法として、シスコが社内の取り組みで同フレームワークをどのように活用しているかを説明します。
Cisco Live(6 月 2 ~ 6 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
いくつかの技術的な問題に対処するため、このセクションは一時的に休止します。
本稿は 2024 年 05 月 02 日にTalos Group
Authors