この記事は、シニア セキュリティ データ サイエンティストであるBecca Lynch によるブログ「https://duo.com/blog/identity-threat-trends-for-higher-education」(2024/1/29)の抄訳です。
新学期が始まるにあたり、Cisco Duo では、高等教育機関のお客様の環境で確認された脅威活動に関する調査結果と傾向をご紹介したいと思います。最も一般的な傾向と攻撃パターンについて概説し、ユーザーを最も効果的に保護するための Duo ポリシーの設定方法について説明します。
発生した脅威
匿名化された顧客データを 2023 年後半に分析したところ、複数の大学を標的とした、共有の攻撃インフラストラクチャを使用した脅威活動のパターンが見つかりました。攻撃手法は、パスコードフィッシングとプッシュ通知による迷惑行為であり、攻撃の目的は、大学の VPN にアクセスすることや、1 つ以上のユーザーアカウントに悪意のある認証デバイスを登録してアクセスを継続することでした。
脅威媒体についての説明は以下のとおりです。
- パスコードフィッシング:攻撃者は偽の Web サイトを使用してユーザーからワンタイムパスコードを収集し、それを認証に使用します。
- MFA 疲労攻撃:攻撃者はユーザーにプッシュリクエストを繰り返し送信します。これは、ユーザーが正当な認証リクエストだと勘違いするか、大量に送り付けられるリクエストを止めるために承認することを期待してのことです。
- デバイスの登録:攻撃者はユーザーアカウントへのアクセスを取得した後、それ以降もアカウントにアクセスできるように自分の MFA デバイスを登録します。
たとえば下図の赤い点で示しているのは、攻撃者がある組織の複数のユーザーアカウントをクロールする際に、連続で認証に失敗している状況です。この場合、攻撃者はユーザーの第 1 の認証要素であるログイン情報(パスワード)をフィッシングしているか、推測可能な脆弱なパスワードを使用してユーザーアカウントをクロールしていると考えられます。攻撃者は、ユーザーがうっかりアクセスを許可することを期待して、一連のプッシュリクエストを送信します。この例では、ユーザーは幸いにも攻撃者のリクエストに応答しませんでしたが、常にこうなるとは限りません。
Duo による調査と対応
これらの攻撃パターンが最初に特定されたきっかけとなったのが、懸念を抱いたお客様からの連絡でした。攻撃を調査してお客様にサポートを提供するには、さらに詳しく調べる必要があると判断しました。そこで、Cisco Talos と協力して新たなアクティビティを探し、対応を行いました。この調査を通じて悪意のあるインフラストラクチャが特定されたため、そのインフラストラクチャによるシステムへのアクセスをブロックし、影響を受けたお客様に通知する措置を講じました。また、ここに挙げたパターンは、お客様のセキュリティを強化する脅威検出メカニズムをさらに開発するためにカタログ化されています。
Duo のお客様ができる自衛策
これらの攻撃で観察されたアクティビティは、MFA に対する最も一般的な攻撃パターンの一部を表しています。教育セクターのお客様をはじめ、Duo のお客様は、自身の環境を保護するための措置を講じることができます。
ログイン情報の変更
パスワードの定期的な変更をユーザーに強制することをセキュリティの専門家は推奨していませんが、漏洩したパスワードは必ず変更する必要があります。最終的にアクセスできなかったとしても、悪意のある MFA の試みは通常、第 1 要素であるログイン情報が漏洩したことを意味しています。管理者は、失敗したログイン試行の異常なパターンを注意深くモニターし、影響を受けたユーザーに対して、強力で他では使用していない新しいパスワードを設定するよう推奨する必要があります。
より安全な認証要素
まだの場合は、Verified Duo Push や WebAuthn 認証方法など、より安全な認証要素のみを許可するようにユーザーのデバイス管理ポータルを保護することを検討してください。
さらに、Duo のリスクベースの認証(RBA、Premier および Advantage エディションで利用可能)は、プッシュ通知による迷惑行為などの攻撃パターンが検出された場合に、Verified Duo Push のようなより安全な要素を要求するように、インテリジェントに「ステップアップ」させることができます。前のセクションで説明した攻撃の状況では、認証が複数回失敗すると、攻撃者はそれ以上プッシュを試みることができなくなります。攻撃者が Verified Duo Push などの別の要素を選択した場合、信頼できるユーザーはアクセスデバイスに入力する確認コードがわからないので、誤って認証が承認されることはありません。
Duo Trusted Endpoints
学生と職員の安全を確保するためのもう 1 つの選択肢は、Duo Trusted Endpoints を導入することです。Trusted Endpoints は、Duo Desktop または Duo Mobile アプリケーションを通じてユーザーのエンドポイントを登録し、未登録のデバイスからの認証を防止します。上記のシナリオでは、攻撃者のデバイスは信頼できるユーザーとして登録されません。攻撃者には次のようなメッセージが表示され、認証を行うことはできません。Duo Trusted Endpoints を安全に展開するためのベストプラクティスについては、こちらのドキュメントを参照してください。
Duo Trust Monitor
環境内で不審なアクティビティについて警告を受け取り、悪意が疑われる動作をモニターしたい場合は、Duo Trust Monitor の使用をご検討ください。Trust Monitor は、ユーザーの過去の履歴と組織内での典型的な動作を考慮した一連の機械学習モデルとセキュリティ ヒューリスティックを使用します。その後、過去 24 時間の認証をスコア化してランク付けし、異常なアクティビティをセキュリティイベントとして明らかにし、管理者が確認できるようにします。危険なデバイスの登録イベントも、Trust Monitor が検出して明らかにします。
Trust Monitor で危険なイベントを特定するために使用される一般的なシグナルには、認証間の移動速度、認証の時刻、アクセスを試みているデバイスのオペレーティングシステム、使用されている認証要素、アクセスされているアプリケーションなどがあります。ユーザーのそれぞれの履歴を考慮すると、これらの攻撃で見られた認証の多くは、通常とは別の場所で行われておりオペレーティングシステムも異なるので、Trust Monitor を使用していればセキュリティイベントがトリガーされていたと考えられます。
まとめ
これまでに見てきた状況からすると、高等教育機関はますます攻撃者に狙われるようになっています。Duo MFA は組織を保護するための重要な第一歩ですが、ここで説明した推奨事項を参考にしていただくことで、新学期に向けてユーザーの安全性をより確信できるようになることを願っています。そうすれば教師も学生も、学校にいる本来の目的である学習に集中することができます。シスコは今後も悪意のある動作のモニターを続け、検出した内容についてお客様に警告し、こうした調査結果をサービスのさらなる強化に活用していきます。
#HigherEd では現在、どのような #cyberattack が確認されているのでしょうか?Duo の最新のブログで詳細(と #cybersecurity の専門家ができること)をご確認ください。 http://cs.co/9003pO7aJ
ビデオ:https://x.com/duosec/status/1752330878431187387?s=20