メインコンテンツへスキップ
インテリジェンスダイジェスト

フィッシング。クレデンシャルセーフティ流出させる。強奪。佐賀は続く。

Ciscoのような大企業に対しても、ランサムウェア集団が猛威を振るっています。

Rodman Ramezanian - エンタープライズクラウドセキュリティアドバイザー

2022年8月25日 7分で読めます

サイバー犯罪集団による数々の大規模な侵害が相次ぐ中、Ciscoは、Yanluowangランサムウェアグループによる最近の恐喝攻撃で、企業ネットワークへの侵害があったことを不本意ながら確認しました。

業界レポートがCisco従業員の認証情報の侵害が引き金となったことを確認していることから、このニュースは、リモートアクセス悪用がいかに破壊的であるかについて、改めて厳しい警告となります。

図1. Yanluowangランサムウェアの脅威。出典: Twitter

このケースでは、Cisco VPNの最初の悪用は、Cisco従業員の個人のGoogleアカウントから盗まれた企業認証情報によって助長されました。

認証されると(さらなるソーシャルエンジニアリングとボイスフィッシングの手法により)、攻撃者はCiscoの企業ネットワークへのアクセス権を獲得し、多数のデバイスを多要素認証に登録し、最終的に身代金と恐喝を目的としてデータを持ち出しました。

今回もまた、Lapsus$やUNC2447のような類似グループが使用するTTP(Tactics, Techniques, and Procedures)と同様に、VPNを介した認証済みリモートアクセスが、データ窃盗を助長する重要な脅威ベクトルとなっていることがわかります。Yanluowangグループは、約2.8GBのデータを盗んだと主張しています。

シスコ自身のセキュリティチームが述べたように、攻撃者は管理者レベルに権限を昇格させ、ネットワーク内での移動や複数のシステムへの正常なログインを可能にしました。ここに、制限のないVPNアクセスによって促進されるラテラルムーブメントの重大なリスクが存在します。

なぜこれらの侵害は発生するのでしょうか?

個人用クラウドアプリとビジネスアプリの境界を曖昧にするハイブリッドワークフォースは、独自の課題とリスクの増大をもたらします。残念ながら、これらはいくつかの異なるポイント製品で軽減できる種類のリスクではありません。

サイバー犯罪者が用いるソーシャルエンジニアリングやフィッシングの手法は、目新しいものではありません。しかし、企業従業員が巧妙な手口に騙され続けるという傾向は軽視できません。

図2. 攻撃者からCiscoスタッフへの身代金要求のやり取り。出典: Twitter

ハイブリッドワークフォースが拡大し続けるにつれて、攻撃者はリモートアクセス認証情報の取得にますます狙いを定めています。その理由は、大多数の企業が、認証されると企業環境への無制限のアクセスを許可する従来のVPNテクノロジーをまだ放棄していないためです。

これらの攻撃者は、必要なリモートアクセスツールと認証情報を取得すると、通常、その後のMulti-Factor Authentication (MFA) チェックを回避するために、ソーシャルエンジニアリングの手法を用いて被害者を欺くことに注力します。

従来のVirtual Private Network (VPN) は、有効なログインキーを持つリモートユーザーが企業内部ネットワーク全体とその中のすべてのリソースに完全にアクセスできるため、過剰なデータ露出のリスクをもたらします。

ハイブリッドワーカーがリモートで作業する際に通常同意するように、脅威アクターもリモートアクセスがいかに価値があるかを十分に認識していると断言できます。

シスコが関与したこのインシデントの文脈では、侵害されたリモートアクセス、ラテラルムーブメント、および権限の悪用が、最大規模のテクノロジー企業にとってもいかに有害であるかが明確にわかります。

何ができるでしょうか?

脅威アクターが初期アクセスを得るために幅広い戦術を用いる確かな能力を持っていることを考えると、Multi-Factor Authentication (MFA) 回避技術に対抗するためには、ユーザー教育が極めて重要な要件となります。

攻撃者による管理者権限の悪用を考慮し、未管理または不明なデバイスからの企業アプリ、ネットワーク、サービスへの登録とアクセスを制限またはブロックするために、より厳格な制御を適用することで、強力なデバイスチェックを実施してください。

図3. Skyhigh Security: Zero Trustによるアプリへの直接接続でプライベートネットワークとアプリをセグメント化

ネットワークセグメンテーションは、組織が利用すべきもう一つの不可欠なセキュリティ制御です。これは、高価値資産の保護を強化し、攻撃者が環境への初期アクセスを獲得できる状況において、ラテラルムーブメントやデータ流出の試みを防ぐのに役立ちます。

このガイダンスの採用を支援するために、組織はネットワークへの単一の出入り口を持つことを避けるべきです。ゼロトラストアーキテクチャでは、ネットワークは代わりに、特定のワークロードが格納される小さなフラグメントにセグメント化されます。各フラグメントは、不正アクセスによる「被害範囲(blast radius)」を最小限に抑えるために、独自のイングレス/エグレス制御、ポスチャチェック、コンテキストアクセス制御、データ保護などを備えることができます。

ゼロトラストの考え方を用いることで、許可されていないアクターがネットワーク全体に拡散するのを困難にし、それによって脅威のラテラルムーブメントを低減できます。

生産性を向上させるためにデータがクラウドインフラ全体に分散され続ける中で、クラウドアプリ間でのコンテンツ認識型コラボレーション制御を有効にするだけでなく、クラウドData Loss Prevention機能も実装し、単純な侵害されたVPNセッションによってセキュリティが犠牲になるのを避けるようにしてください。

ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

エンタープライズクラウドセキュリティアドバイザー

サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。

ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。

率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。

攻撃のハイライト

  • セキュリティ研究者によって発見された、Yanluowangランサムウェアグループが流出したとされるファイルのリストを公開しました。
  • 攻撃者は、古いファイルバージョンのクラウドバックアップを作成する(編集されたファイルの古いコピーをユーザーが復元するのを助けることを意図した)ネイティブの「AutoSave」および「バージョン管理」機能を悪用し始めます。
  • 攻撃者が個人のGoogleアカウントを乗っ取り、被害者のブラウザに保存されていた認証情報が同期されていたため、シスコ従業員の認証情報が侵害されました。
  • 攻撃者は、様々な信頼できる組織を装って音声フィッシング攻撃を行い、被害者に攻撃者によって開始されたMulti-Factor Authentication (MFA) のプッシュ通知を受け入れるよう説得しようとしました。
  • 脅威アクターは、アクセスを昇格させ、ネットワークへの永続的なアクセスを獲得するとともに、侵入の痕跡を削除するために様々な手法を用いました。
  • 攻撃者は、LogMeInやTeamViewerなどのリモートアクセスツール、Cobalt Strike、PowerSploit、Mimikatz、Impacketといった攻撃的なセキュリティツールを含む様々なツールを投入し、自身のバックドアアカウントと永続化メカニズムを追加しました。
  • 侵害された従業員のアカウントに関連するBoxフォルダーの内容と、Active Directoryからの従業員認証データが流出しました。
  • 攻撃者によって侵害されたシステムに投入されたマルウェアペイロードには、コマンド&コントロールサーバーと通信するように設計されたバックドアソフトウェアが含まれていました。