サイバー犯罪集団の手による数々の有名な侵害に続いて、シスコは最近のYanluowangランサムウェア・グループからの恐喝攻撃で企業ネットワークへの侵入を確認したことを、間違いなく喜ばしく思っていない。
業界では、シスコ社の従業員の認証情報の漏洩が引き金となったとの報道もあり、このニュースは、リモートアクセスの不正使用がいかに破壊的であるかを改めて思い知らされるものです。
この例では、Cisco VPNの最初の悪用は、Cisco社員の個人的なGoogleアカウントから盗まれた企業認証情報によって支援されました。
ソーシャルエンジニアリングとボイスフィッシングの手法により認証されると、攻撃者はシスコの企業ネットワークにアクセスし、多数のデバイスをマルチファクター認証に登録し、最終的に身代金と恐喝を目的としたデータを流出させました。
Lapsus$やUNC2447のような類似のグループが使用した戦術、技術、手順(TTP)と同様に、VPNを介した認証されたリモートアクセスが、データ盗難を助長する重要な脅威ベクトルであることがわかります。Yanluowangグループは、約2.8GBのデータを盗んだと主張しています。
シスコのセキュリティチームによると、攻撃者はその後、管理者レベルにまで権限を昇格させ、ネットワーク内部を操作し、複数のシステムにログインすることに成功したとのことです。ここに、無制限なVPNアクセスによる横移動の重大なリスクがあるのです。
なぜこのような情報漏えいが起こるのでしょうか?
個人用クラウドアプリと業務用アプリの境界が曖昧なハイブリッドワークフォースには、独自の課題とリスクの増加があります。残念ながら、これらのリスクは、数種類のポイント製品で軽減できるようなものではありません!
サイバー犯罪者によるソーシャルエンジニアリングやフィッシングの手法は、今に始まったことではありません。しかし、企業で働く従業員がこのような手口で騙されるケースは後を絶ちません。
ハイブリッドワークが増え続ける中、攻撃者はますますリモートアクセスの認証情報を取得することに狙いを定めています。なぜか?大多数の企業は、一度認証されれば企業環境への自由なアクセスを可能にする従来のVPN技術をまだ捨てていないのです。
これらの攻撃者は、必要なリモートアクセスツールと認証情報を取得すると、通常、ソーシャルエンジニアリングの手法を使って被害者を欺き、通常行われる多要素認証のチェックをバイパスすることに力を注ぎます。
従来のVPN(Virtual Private Network)は、有効なログインキーを持つリモートユーザーが、企業内ネットワーク全体とその中のすべてのリソースに完全にアクセスできるため、過剰なデータ漏洩のリスクがあります。
ハイブリッドワーカーがリモートで仕事をする際に一般的に同意するように、脅威関係者もリモートアクセスがいかに貴重なものであるかをよく知っていることは間違いないでしょう!
シスコが関与したこの事件の背景には、危殆化したリモートアクセス、横移動、特権の悪用が、最大手のテクノロジー企業にとってどれほど有害であるかが明確に示されています。
何ができるのか?
多要素認証のバイパス技術に対抗するためには、ユーザー教育が重要な要件となります。
攻撃者が管理者権限を悪用することを考慮し、管理されていないデバイスや未知のデバイスから企業のアプリ、ネットワーク、サービスへの登録やアクセスを制限またはブロックするために、より厳格な管理を実施することで強力なデバイスチェックを適用します。
ネットワークのセグメンテーションは、高価値の資産に対する保護を強化し、敵が環境に最初にアクセスすることができた場合に、横方向の動きやデータの流出を防ぐのに役立つため、組織が活用すべきもう一つの重要なセキュリティコントロールです。
このガイダンスを採用するために、組織はネットワークへの出入りを1本のパイプで行うことを避けるべきである。ゼロ・トラスト・アーキテクチャでは、ネットワークは特定のワークロードが含まれる小さな断片に分割される。各フラグメントは、不正アクセスの「爆発半径」を最小化するために、独自の入口・出口制御、姿勢チェック、コンテキスト・アクセス制御、データ保護などを持つことができる。
Zero Trustの手法では、不正な行為者がネットワーク全体に伝播することを困難にし、脅威の横の動きを抑えることができます。
生産性を向上させるためにクラウドインフラにデータが拡散し続ける中、クラウドアプリケーション間のコンテンツを考慮したコラボレーション制御を有効にするだけでなく、クラウドのデータ損失防止機能を実装し、単純に危険なVPNセッションによってセキュリティを犠牲にすることを避ける必要があります。