Rodman Ramezanian - エンタープライズクラウドセキュリティアドバイザー
2022年8月25日 7分で読めます
業界レポートがCisco従業員の認証情報の侵害が引き金となったことを確認していることから、このニュースは、リモートアクセス悪用がいかに破壊的であるかについて、改めて厳しい警告となります。

このケースでは、Cisco VPNの最初の悪用は、Cisco従業員の個人のGoogleアカウントから盗まれた企業認証情報によって助長されました。
認証されると(さらなるソーシャルエンジニアリングとボイスフィッシングの手法により)、攻撃者はCiscoの企業ネットワークへのアクセス権を獲得し、多数のデバイスを多要素認証に登録し、最終的に身代金と恐喝を目的としてデータを持ち出しました。
今回もまた、Lapsus$やUNC2447のような類似グループが使用するTTP(Tactics, Techniques, and Procedures)と同様に、VPNを介した認証済みリモートアクセスが、データ窃盗を助長する重要な脅威ベクトルとなっていることがわかります。Yanluowangグループは、約2.8GBのデータを盗んだと主張しています。
シスコ自身のセキュリティチームが述べたように、攻撃者は管理者レベルに権限を昇格させ、ネットワーク内での移動や複数のシステムへの正常なログインを可能にしました。ここに、制限のないVPNアクセスによって促進されるラテラルムーブメントの重大なリスクが存在します。
個人用クラウドアプリとビジネスアプリの境界を曖昧にするハイブリッドワークフォースは、独自の課題とリスクの増大をもたらします。残念ながら、これらはいくつかの異なるポイント製品で軽減できる種類のリスクではありません。
サイバー犯罪者が用いるソーシャルエンジニアリングやフィッシングの手法は、目新しいものではありません。しかし、企業従業員が巧妙な手口に騙され続けるという傾向は軽視できません。

ハイブリッドワークフォースが拡大し続けるにつれて、攻撃者はリモートアクセス認証情報の取得にますます狙いを定めています。その理由は、大多数の企業が、認証されると企業環境への無制限のアクセスを許可する従来のVPNテクノロジーをまだ放棄していないためです。
これらの攻撃者は、必要なリモートアクセスツールと認証情報を取得すると、通常、その後のMulti-Factor Authentication (MFA) チェックを回避するために、ソーシャルエンジニアリングの手法を用いて被害者を欺くことに注力します。
従来のVirtual Private Network (VPN) は、有効なログインキーを持つリモートユーザーが企業内部ネットワーク全体とその中のすべてのリソースに完全にアクセスできるため、過剰なデータ露出のリスクをもたらします。
ハイブリッドワーカーがリモートで作業する際に通常同意するように、脅威アクターもリモートアクセスがいかに価値があるかを十分に認識していると断言できます。
シスコが関与したこのインシデントの文脈では、侵害されたリモートアクセス、ラテラルムーブメント、および権限の悪用が、最大規模のテクノロジー企業にとってもいかに有害であるかが明確にわかります。
脅威アクターが初期アクセスを得るために幅広い戦術を用いる確かな能力を持っていることを考えると、Multi-Factor Authentication (MFA) 回避技術に対抗するためには、ユーザー教育が極めて重要な要件となります。
攻撃者による管理者権限の悪用を考慮し、未管理または不明なデバイスからの企業アプリ、ネットワーク、サービスへの登録とアクセスを制限またはブロックするために、より厳格な制御を適用することで、強力なデバイスチェックを実施してください。

ネットワークセグメンテーションは、組織が利用すべきもう一つの不可欠なセキュリティ制御です。これは、高価値資産の保護を強化し、攻撃者が環境への初期アクセスを獲得できる状況において、ラテラルムーブメントやデータ流出の試みを防ぐのに役立ちます。
このガイダンスの採用を支援するために、組織はネットワークへの単一の出入り口を持つことを避けるべきです。ゼロトラストアーキテクチャでは、ネットワークは代わりに、特定のワークロードが格納される小さなフラグメントにセグメント化されます。各フラグメントは、不正アクセスによる「被害範囲(blast radius)」を最小限に抑えるために、独自のイングレス/エグレス制御、ポスチャチェック、コンテキストアクセス制御、データ保護などを備えることができます。
ゼロトラストの考え方を用いることで、許可されていないアクターがネットワーク全体に拡散するのを困難にし、それによって脅威のラテラルムーブメントを低減できます。
生産性を向上させるためにデータがクラウドインフラ全体に分散され続ける中で、クラウドアプリ間でのコンテンツ認識型コラボレーション制御を有効にするだけでなく、クラウドData Loss Prevention機能も実装し、単純な侵害されたVPNセッションによってセキュリティが犠牲になるのを避けるようにしてください。
サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。
ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。
率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。