ロッドマン・ラメザニアン - エンタープライズクラウドセキュリティアドバイザー
2024年9月30日 7分で読めます
クラウドストレージリポジトリは、悪用される可能性のある機密データの宝庫を提供しているため、サイバー犯罪者にとってますます魅力的な標的となっています。業界、規模、経験、財源に関わらず、これらの脅威から免れる組織はありません。小規模なスタートアップ企業から多国籍企業、教育機関から政府機関まで、あらゆる組織がクラウドに保存されたデータが悪意のある者の手に渡るリスクに直面しています。
クラウドストレージへの移行は、多くのハッカーにとって攻撃ベクトルを意図せず簡素化しました。従来のネットワーク防御の複雑な層を突破してオンプレミスデータベースにアクセスする代わりに、脅威アクターはクラウドストレージサービスの侵害に焦点を当てています。これらのプラットフォームはよりアクセスしやすく、使い回されたり盗まれたりした認証情報を使用して侵害される可能性があります。この攻撃方法は、複数のサービスでパスワードの使い回しが広く行われているため、特に効果的です。その結果、単一の侵害されたアカウントがクラウドに保存された機密情報の宝庫へのアクセスを可能にする可能性があり、これらのリポジトリは、最小限の労力で最大の効果を得ようとするサイバー犯罪者にとって魅力的かつ効率的な標的となっています。
サイバーセキュリティ企業Fortinetは、一部の顧客データに影響を与えたデータ侵害を確認しました。今月初め、正確には9月12日に、「Fortibitch」という挑発的な名前で知られるグループがデータキャッシュを公開しました。これは、Fortinetの顧客データ保存に使用されていたMicrosoft Azure SharePointサーバーから盗まれたものとされています。残念ながら、このような事件が展開する傾向にあるように、Fortinetが身代金の要求を拒否したとされる後、脅威アクターは盗まれたデータをダークウェブ上でダウンロード可能にしました(Amazon S3バケット内に含まれています)。

残念ながら、最近多くの組織が同様にうらやましくない状況に陥っています。リソースの誤設定から生じるものであれ、承認された認証情報の侵害から生じるものであれ、今回のMicrosoft Azureのようなクラウドプラットフォームの広範な規模は、脅威アクターが組織の拠点クラウド拡張への侵入経路を見つける機会をいくらでも提供しています。
Fortinetが自らの言葉で確認したように、「ある個人が、Fortinetが利用するサードパーティのクラウドベース共有ファイルドライブに保存されていた限られた数のファイルに不正アクセスし、そこには少数のFortinet顧客に関連する限定的なデータが含まれていました。」
さて、今回の事件の分析は、決して「弱っている者をさらに打ちのめす」ことを意図するものではありませんが、将来的に同様の攻撃の影響を軽減するか、少なくともその範囲を縮小できるいくつかの基本的なセキュリティ原則を強調し、強化することを目的としています。
Fortinetは、不正な認証情報がどのように侵害され、プライベートなAzure SharePointサーバーへのアクセスに使用されたかについて、まだ詳細を明らかにしていませんが、過去の無数の類似攻撃から判断すると、ソーシャルエンジニアリング、認証情報収集、および/またはフィッシング技術のいずれかが、AzureでホストされているFortinetの内部領域への侵入を許可するこれらの特権認証情報を取得する上で重要な役割を果たしたと推測してもおそらく間違いはないでしょう。
これは、Zero Trust原則を採用することの強力な根拠を強調しています。Zero Trust原則では、認証情報が侵害された場合でも、単一アカウントの分離と限定された特権により、その影響が最小限に抑えられます。
例えば、非常に機密性の高いクラウドホスト型顧客データの宝庫へのアクセスを排他的に維持する、限られた数の特権アカウントがあるとします。このシナリオでは、ソーシャルエンジニアリングの脅威アクターやフィッシングの機会主義者によって、それぞれのユーザー(またはそのアカウント)がどれほど標的にされやすく、脆弱であるかは問題になりません。実際のところ、攻撃者がそれらのアカウント認証情報を侵害し、セッショントークンや認証済みクッキーを取得したり、多要素認証(MFA)メカニズムを回避することに成功したとしても、彼らが理論上達成できる最も強力なアクセスレベルは、最小特権の原則によって極めて制限されるでしょう。これはZero Trust哲学の核心的な信条です。
ユーザー認証情報はデジタルセキュリティの最重要資産となり、厳格な保護対策が求められています。2024年Verizonデータ侵害レポートは、データ侵害の驚くべき68%が人為的ミスによるものであり、設定ミスや関連する問題がセキュリティインシデントの3分の1を占めているという、厳しい洞察を提供しています。これらの統計は、組織がネットワーク内のユーザー活動の正常なパターンを確立し、監視できる高度なセキュリティ対策に投資することの重要性を強調しています。そうすることで、セキュリティチームは異常な行動を迅速に特定し、潜在的な脅威が本格的な侵害にエスカレートする前に対処することができます。
今日のサイバーセキュリティ環境において、侵害が発生するかどうかではなく、いつ発生するかという問題になっています。この現実は、世界中で発生している数多くの注目すべきセキュリティインシデントによって明確に示されており、それらのすべてが機密データの侵害を伴っていました。組織がデータ認識型セキュリティソリューションへの投資を優先することは、不可欠です。
セキュリティの基本に立ち返ると、多要素認証(MFA)は、可能な限り導入すべき重要なツールであり続けています。最近のFortinetの侵害は、静的な有効な認証情報がいかにして取得され、被害者のインフラストラクチャ(従来のオンプレミスシステムであろうと、Azure SharePointのようなクラウドベースのプラットフォームであろうと)へのより深いアクセスを得るために悪用され得るかを示す、もう一つの厳しい警告となっています。
Fortinetの事件は、Zero Trustアーキテクチャを採用することの重要性をさらに強調しています。シングルサインオン(SSO)やその他のアクセス管理製品が導入されているにもかかわらず、脅威アクターの主要な標的であり続ける静的な特権認証情報への継続的な依存は、本質的に組織の資産への正面玄関を大きく開け放っていることになります。Zero Trustは単一の認証ポイントに依存しません。代わりに、セッション全体を通じてユーザーの身元を継続的に検証します。攻撃者が有効な認証情報を取得したとしても、アクセスを維持するためには継続的な課題に直面するでしょう。さらに、万が一認証情報が侵害されたとしても、不正なユーザーには、彼らが制御を行使しているその役割に必要な最小限の権限しか付与されません。これにより、潜在的な被害範囲と横移動の脅威も制限されます。

サイバー犯罪者や悪意のある内部関係者の典型的な手口は、ログインプロセスから始まり、正当なユーザーの行動を模倣することです。これが、Zero Trustアーキテクチャが継続的な認証と姿勢チェックを活用し、最初の認証ポイントを超えてユーザー(または要求エンティティ)のコンテキスト、ステータス、および活動を監視する理由です。
しかし、認証は始まりに過ぎません。組織は、アプリ、サービス、またはプラットフォーム内のデータが、セキュリティポリシーに沿った方法で処理および取引されることを保証する必要があります。これには、ウェブ、クラウド、およびプライベートアプリケーション(ZTNA)全体でのデータ保護の統合が必要です。Skyhigh Securityのようなソリューションは、インラインのData Loss Prevention (DLP) を使用して詳細なデータ検査と分類を提供し、リモートユーザーによる機密データの不適切な取り扱いを、その場所やデバイスに関係なく防止します。
したがって、特権を持つ人物になりすました不正なユーザーが、突然クラウドプラットフォームから440 GBものデータを抽出した場合、手遅れになる前に、Data Loss Preventionがそれを確実に検出し、ブロックすることを望むでしょう!
DLPと脅威保護を、デバイス、ウェブ、クラウド、プライベートアプリを含む一般的な情報漏洩チャネル全体で統合することにより、セキュリティチームは機密データに対するエンドツーエンドの可視性と制御の恩恵を受けることができます。この包括的なデータセキュリティのアプローチは、データ侵害があらゆる規模や業界の組織に壊滅的な結果をもたらす可能性がある時代において不可欠です。
サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。
ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。
率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。