ID が新たな主戦場に

Cyber Signals 第 1 号:進化するサイバー脅威と、皆様の組織で保護策を強化するために取るべき手順に関する分析情報をご覧ください。

多くの組織のセキュリティプロトコルと直面している脅威の間に危険な不一致が存在します。攻撃者がネットワークへの侵入を試みる場合に優先する戦術はシンプルです。弱いログインパスワードを推測することです。多要素認証のような基本的な対策が攻撃の 98% に対して効果的ですが、それらを完全に採用している組織は 20% にすぎません (Microsoft デジタル防衛レポート 2021)。

第 1 号では、現在のセキュリティの傾向と、Microsoft の研究者および専門家からの推奨事項を紹介します。これには以下が含まれます。

パスワードと ID に基づく攻撃を利用しているのは誰か。
エンドポイント、メール、ID の戦略を含め、攻撃に対処するために何をすべきか。
各種のセキュリティ対策をいつ優先すべきか。
ランサムウェアウィルスがネットワークに侵入して拡散するのはどこからで、それを止めるにはどうすればよいか。
なぜ ID の保護が最大の懸念事項でありながらも、セキュリティを改善するための最大のチャンスなのか。

国家主体のアクターは単に ID 構成要素を手に入れるために倍の手間をかける

国家主体のアクターによるサイバー攻撃が増加しています。大量のリソースを有しているにもかかわらず、これらの攻撃は多くの場合、簡単に推測できるパスワードを盗むという単純な戦略を利用しています。こうすることで、顧客のアカウントに迅速かつ簡単にアクセスできます。企業への攻撃の場合、国家主体のアクターは組織のネットワークに侵入することで、水平方向 (同種のユーザーおよびリソース間) または垂直方向 (より価値の高い資格情報およびリソースへのアクセスを入手) に移動するために利用できる足がかりを手に入れます。

パスワードを盗むまたは推測するために国家主体のアクターが使用する基本的な戦術は、スピアフィッシング、ソーシャルエンジニアリング攻撃、大規模なパスワードスプレーです。Microsoft では、攻撃者が投資して成功を収めてる戦術と手法を監視することで、攻撃者のノウハウと成功に関する分析情報を入手しています。ユーザー資格情報の管理が不十分な場合、または多要素認証 (MFA) やパスワードレス機能などの重要な防御なしで脆弱なままになっている場合、国家主体のアクターは同じシンプルな戦術を使い続けます。

MFA の導入またはパスワードレスの採用を実施することの必要性は、どれだけ誇張してもし過ぎることはありません。ID に特化した攻撃の単純さとコストの低さは、アクターにとって便利かつ効果的であるためです。MFA は組織が使用すべき唯一の ID およびアクセス管理ツールではありませんが、攻撃に対する強力な抑止力となります。

資格情報の悪用は NOBELIUM、ロシアに結びつけられる国家主体の敵対者の仕業です。ただし、イランに結びつけられる DEV 0343 などの他の敵対者もパスワードスプレーを利用しています。DEV-0343 からの活動は、軍事レベルのレーダー、ドローン技術、衛星システム、緊急時応答通信システムを生産する防衛企業全体で観測されています。その他の活動の標的となっているのは、ペルシャ湾への入口となる地域の港、中東でのビジネスに特化している複数の海運荷物の運輸企業です。

2020 年 7 月から 2021 年 6 月にかけてイランに最も標的にされた国は、米国 (49%)、イスラエル (24%)、サウジアラビア (15%) でした。この画像の詳細については、レポート全文の 4 ページをご覧ください

組織がすべきこと:

多要素認証を有効にする: これにより、パスワードが攻撃者に渡った場合のリスクを緩和できます。それよりも良いのは、パスワードレス MFA を使ってパスワードを完全に廃止することです。

アカウント特権を監査する: 特権アクセスアカウントが乗っ取られると、攻撃者がネットワークとリソースへのより広範なアクセスを行うための強力な武器となります。セキュリティチームはアクセス特権を頻繁に監査する必要があります。このときに、従業員が仕事を完了するための最小特権付与の原則を使用します。

すべてのテナント管理者アカウントをレビュー、堅牢化、監視する: セキュリティチームは、代理管理特権に関連付けられたすべてのテナント管理者ユーザーまたはアカウントを徹底的にレビューして、ユーザーおよび活動の真正性を検証する必要があります。使用されていない代理管理特権はすべて無効にするか、削除する必要があります。

リスクを削減するためのセキュリティベースラインを確立して適用する: 国家による活動は長期に渡り、また資金もあるため、間違いなく拡大して新しい攻撃の戦略と手法を開発します。余力がないことまたはお役所仕事が原因でネットワーク堅牢化の取り組みが遅れるたびに、攻撃者を利することになります。セキュリティチームは、MFA やパスワードレスへのアップグレードなどのゼロトラストの実践を実装することを優先する必要があります。まずは特権アカウントから始めて迅速に保護を実現し、次に増分的かつ継続的な段階で拡張していくことができます。

マインドシェアを独占するランサムウェアだが、わずか数株による独占

防御側の能力を無効にする新型のランサムウェアの脅威が大量に存在するというストーリーが支配的であるように見えます。しかし、Microsoft による分析は、これが正しくないことを示しています。また、特定のランサムウェアグループが単一の巨大組織であるという認識もありますが、これも正しくありません。実際に存在するのは、共用化された攻撃チェーン内のさまざまなプレーヤーが計画的な選択を行うサイバー犯罪経済です。これは、アクセスできる情報を各自が悪用する方法を基に利益を最大化する経済モデルに基づいて推進されています。下のグラフィックスは、さまざまなグループが各種のサイバー攻撃戦略とデータ漏洩の情報からどのように利益を得ているかを示しています。

サイバー犯罪サービスの平均的な販売価格。攻撃者を雇うには仕事 1 件で最低 250 米国ドルかかります。ランサムウェアキットは、66 米国ドルまたは利益の 30% です。デバイスのセキュリティ侵害は、PC 1 台あたり USD13 セント、モバイルデバイス 1 台あたり USD82 セントからスタートします。雇われスピアフィッシングの相場は 100 米国ドルから 1,000 米国ドルです。盗まれたユーザー名とパスワードのペアは、平均して 1000 ペアあたり 97 セントからスタートします。この画像の詳細については、レポート全文の 5 ページをご覧ください

とは言え、世の中にどれだけのランサムウェアが存在しようと、関係する株が何であれ、最終的には 3 つの入口ベクトルが問題になります。リモートデスクトッププロトコル (RDP) ブルートフォース、インターネットに公開されている脆弱なシステム、そしてフィッシングです。これらのベクトルはすべて、包括的なセキュリティとコンプライアンスのツールセットに加えて、適切なパスワード保護、ID 管理、およびソフトウェアの更新により緩和することができます。あるタイプのランサムウェアが多大な影響を及ぼすのは、資格情報へのアクセスと広める能力を入手した場合だけです。そうなると、既知の株であっても、多大な損害を与えることが可能になります。

システムが侵害された場合の、最初のアクセスポイントから資格情報の盗用およびシステム内の横方向の移動までの、脅威アクターの行動経路。持続的な経路を追跡してアカウントをキャプチャし、ランサムウェアペイロードを獲得します。この画像の詳細については、レポート全文の 5 ページをご覧ください

セキュリティチームがすべきこと:

ランサムウェアは既定のまたは侵害された資格情報を悪用することを理解する: そのため、セキュリティチームは、すべてのユーザーアカウントに対してパスワードレス MFA を実装し、経営陣、管理者、およびその他の特権ロールの優先順位を高くするなど、安全策を加速させる必要があります。

決定的な異常を対応可能な時間内に見つける方法を特定する: 早いログイン、ファイルの移動などのランサムウェアを導入する動作は、ごくありきたりのものに見える場合があります。それでもなお、チームは異常がないか監視し、迅速に対応する必要があります。

ランサムウェア対応計画を用意し、復旧の演習を実践する: 今はあらゆるものをクラウドに同期して共有する時代ですが、IT システム全体やデータベースのデータのコピーというのは別物です。完全な復旧作業がどのようなものになるかを可視化し、練習する必要があります。

アラートを管理し、軽減策を迅速に実施する: 誰にとってもランサムウェア攻撃は怖いものですが、セキュリティチームが最も集中すべきなのは、攻撃者の侵入を許してしまう弱いセキュリティ構成を強化することです。アラートおよび検出が適切に対応されるように、セキュリティ構成を管理する必要があります。

基本的なセキュリティ予防策により攻撃の 98% を防ぐことができることを示す保護の分布曲線

マルウェア対策、最小特権アクセスの適用、多要素認証の有効化、最新バージョンの維持、データ保護により、98% の攻撃を回避できます。ベル曲線の残りの 2% には外れ値攻撃が含まれます。この画像の詳細については、レポート全文の 5 ページをご覧ください

Microsoft の Principal Threat Intelligence Lead である Christopher Glyer が ID を保護する方法に関する追加のガイダンスを提供します。

毎日 24 兆を超えるシグナルを使って、分析情報を入手し、脅威をブロックします

エンドポイントの脅威:
Microsoft Defender for Endpoint は、2021 年 1 月から 12 月の間に、企業と消費者のカスタマーデバイスを標的にした 96 億を超えるマルウェアの脅威をブロックしました。

メールの脅威:
Microsoft Defender for Office 365 は、2021 年 1 月から 12 月の間に、企業と消費者の顧客を標的にした 357 億を超えるフィッシングメールとその他の悪意のあるメールをブロックしました。

ID の脅威:
Microsoft (Azure Active Directory) は、2021 年 1 月から 12 月の間に、256 億件を超える、ブルートフォース攻撃により盗まれたパスワードによる企業の顧客アカウント乗っ取りの試行をブロックしました。

方法論: スナップショットデータのために、Defender と Azure Active Directory を含む Microsoft のプラットフォームが、2021 年 1 月から 12 月の間のブルートフォースログイン試行、企業と消費者を標的にしたフィッシングや他の悪意のあるメール、マルウェア攻撃などの脅威アクティビティの匿名化されたデータを提供しました。また、Microsoft 全体 (クラウド、エンドポイント、インテリジェントエッジを含む) で毎日取得される 24 兆件のセキュリティシグナルから追加の分析情報を取得しました。強力な認証データは、MFA とパスワード保護を組み合わせたものです。