脆弱なセキュリティ管理は初期アクセスのために日常的に悪用される

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

本日はかアメリカ、カナダ、ニュージーランド、オランダ、UKのセキュリティ当局が共同で初期アクセスに対する防御を高めるためのアドバイザリーを報告していますので、紹介していきたいと思います。

概要

サイバー犯罪者は、日常的に、セキュリティ設定の不備(設定ミスやセキュリティが確保されていない状態)、脆弱な制御、その他の不備などを悪用して、最初のアクセスを獲得したり、被害者のシステムを侵害するための他の戦術の一部として利用しています。
この共同サイバーセキュリティアドバイザリは、一般的に悪用される制御を特定し、問題を軽減するためのベストプラクティスを提供します。
このアドバイザリはアメリカ、カナダ、ニュージーランド、オランダ、UKのセキュリティ当局が共同で執筆しています。

引用:https://www.cisa.gov/uscert/ncas/alerts/aa22-137a

技術詳細

悪意のあるサイバー犯罪者は、被害者ネットワークへの初期アクセスを得るために、一般的に以下のようなテクニックを使用します[TA0001]。

  • インターネットに接続されたアプリケーションへの侵害(Exploit Public-Facing Application) [T1190]
  • 外部リモートサービス(External Remote Services) [T1133]
  • フィッシング(Phishing) [T1566]
  • 信頼された関係(Trusted Relationship) [T1199]
  • 有効なアカウント(Valid Accounts) [T1078]

悪意のあるサイバー犯罪者は、以下のような一般的な脆弱なセキュリティ管理、不十分な設定、不十分なセキュリティ運用を悪用して、初期アクセスを実行することがあります。

  • 多要素認証(MFA)の未実装

特にリモートデスクトップアクセスのための多要素認証(MFA)は、アカウントの乗っ取りを防ぐのに有効です。
リモート・デスクトップ・プロトコル(RDP)は、ランサムウェアの最も一般的な感染経路の1つであるため、MFAは悪意のあるサイバー攻撃を軽減するための重要なツールです。
特に管理者は、MFA の要件から除外しないでください。

  • 特権や権限の不正な適用、アクセス制御リストの設定ミス

このようなミスにより、アクセス制御ルールの実施が妨げられ、未承認のユーザーやシステムプロセスがオブジェクトへのアクセスが可能性なり、脅威にさらされる可能性があります。

  • ソフトウェアが最新でない

パッチが適用されていないソフトウェアは、サイバー犯罪者が既知の脆弱性を悪用して、機密情報へのアクセス、DoS攻撃(サービス拒否攻撃)、システムの制御を行うことを可能にする場合があります。これは、最も一般的に見られるセキュリティ上の不備の一つです。

  • ベンダーが提供するデフォルト設定、デフォルトのログインユーザ名とパスワードの利用

多くのソフトウェアやハードウェアは、ユーザーフレンドリーな製品にするため、また、カスタマーサービスのトラブルシューティング時間を短縮するために、工場出荷時設定のままになっています。
しかし、インストール後にこれらの工場出荷時の設定を有効にしておくと、サイバー犯罪者に悪用される可能性があります。
また、ネットワーク機器は、セットアップを容易にするために、デフォルトの管理者ユーザー名とパスワードで事前に設定されていることがあります。
これらのデフォルトの認証情報は、デバイス上に物理的にラベル付けされていたり、インターネット上で容易に入手できたりと、安全とは言えません。
これらの認証情報を変更しないままにしておくと、情報への不正アクセスや悪意のあるソフトウェアのインストールなど、悪意のある行為を行う機会が生じます。
また、ネットワーク管理者は、ソフトウェア・オプションがあらかじめデフォルトで設定されていることがあり、そのようなソフトウェアについても同様の注意が必要です。

  • VPN(仮想プライベートネットワーク)などのリモートアクセスサービスにおいて、不正アクセスを防止するための不十分な管理

近年、悪意のある脅威犯罪者がリモートアクセスサービスを標的にすることが確認されています。
ネットワーク防御者は、多要素認証(MFA)の実施、VPNの前にファイアウォールを実装する、侵入検知システム/侵入防止システム(IDS/IPS)のセンサーを活用して異常なネットワーク活動を検知するなど、アクセス制御メカニズムを追加することでリモートサービスの侵害リスクを低減することができます。

  • 強固なパスワードポリシーが未実装

悪意のあるサイバー犯罪者は、脆弱なパスワード、流出したパスワード、または漏洩したパスワードを悪用して、被害者のシステムに不正にアクセスするために、無数の方法を利用して侵害してきます。
特にRDP(リモートデスクトッププロトコル)を標的とした攻撃が顕著に見られます。

  • 保護されていないクラウドサービス

クラウドサービスの設定ミスは、サイバー犯罪者の共通のターゲットです。
設定の不備により、機密データの盗難やクリプトジャッキングさえも可能になります。

  • オープンポートや設定ミスのあるサービスがインターネットに公開

これは、最も一般的な脆弱性の発見の一つです。
サイバー犯罪者は、スキャンツールを使用してオープンポートを検出し、最初の攻撃ベクトルとして使用することがよくあります。
ホスト上のサービスの侵害に成功すると、最初のアクセスを獲得し、他の戦術や手順を使用して、露出した脆弱なエンティティを侵害することが可能になります。
RDP、Server Message Block (SMB)、Telnet、NetBIOSは、危険度の高いサービスです。

  • フィッシング行為の検知、防御の失敗

サイバー犯罪者は、主にMicrosoft Word文書やExcelファイルに悪意のあるマクロを埋め込んだ電子メールを送り、コンピュータシステムを感染させます。
初感染は、フィッシングメールに含まれる悪意のあるダウンロードリンク、PDF、マクロを使用したり、Microsoft Word文書をユーザーが開いたりクリックしたりした場合など、様々な方法で発生します。

  • EDR(Endpoint Detection and Response)の設定不備

サイバー犯罪者は、難読化した悪意のあるスクリプトとPowerShell攻撃を使用して、エンドポイントセキュリティ制御を回避し、ターゲットデバイスに攻撃を仕掛ける。
これらの手法は、検知や防御が困難になる場合があります。

緩和策

以下に紹介する緩和策を適用することで、一般的に悪用される脆弱なセキュリティコントロール、ネットワークの防御を強化することができます。

アクセス制御

  • ゼロトラストセキュリティモデルの適用

ゼロトラストアーキテクチャは、特定の要素、ノード、サービスに対する暗黙の信頼を排除し、代わりに複数のソースからのリアルタイム情報を介して運用状況を継続的に検証し、アクセスやその他のシステム応答を決定する必要があります。

  • ローカル管理者アカウントの機能制限

ローカル管理者アカウントによるリモートセッションからのログインを制限し(例:ネットワークからこのコンピュータへのアクセスを拒否する)、RDPセッション経由のアクセスを防止する。
さらに、特権ユーザーセッションには専用の管理用ワークステーションを使用し、デバイスやユーザーの危険に関連するすべての脅威への露出を制限することができます。

  • データやサービスへのアクセス制御

業務遂行に必要なデータ、権利、システムにのみアクセスできるようにする。
この役割に基づくアクセス制御は、最小権限の原則としても知られており、アカウントと物理的なアクセスの両方に適用する必要があります。
悪意のあるサイバー犯罪者がアクセスした場合、アクセス制御によってこの犯罪者の行動を制限することができ、設定ミスやユーザーエラーの影響を軽減することができます。
また、ネットワーク防御者は、この役割ベースのアクセス制御を利用して、サービスアカウント、マシンアカウント、機能アカウントのアクセスや、管理権限の使用を必要な範囲に制限する必要があります。
アクセス制御モデルを導入する際には、以下の点を考慮してください。

  • データやサービスへのアクセスは、各従業員が自分のユーザーアカウントを持ち、各ユーザーに特化した形で行われるようにする。
  • 従業員には、それぞれの業務を遂行するために必要なリソースにのみアクセスできるようにする。
  • インストールまたは導入テストの際に、機器やシステムのデフォルトパスワードを変更する。
  • 従業員の入退室及び内部移動のためのプロセスがあることを確認する。
    未使用のアカウントを削除し、アクセスが不要になった退社者のアカウントからデータやシステムへのアクセスを直ちに削除する。
    サービスアカウントを無効化し、メンテナンス時のみ有効化する。

  • 条件付きのアクセスポリシーを実装

VPNやアクセス制御のルールを見直し、最適化することで、ユーザーがネットワークやクラウドサービスに接続する方法を管理します。

  • クラウドベースの仮想マシンインスタンスを含むすべてのマシンにRDPポートが開いていないことを確認

RDPポートが開いているシステムはファイアウォールの背後に置き、ファイアウォールを介してアクセスするためにVPNを使用することをユーザーに要求します。

クレデンシャルの強化

  • 多要素認証(MFA)の実装

特に、すべての VPN 接続、外部向けサービス、および特権アカウントに多要素認証(MFA)を適用する。
重要なサービスには、フィッシングに強い MFA(セキュリティ・キーまたは PIV カードなど)を要求する。
MFA が実装されていない場合は、デバイス情報、アクセス時刻、ユーザー履歴、ロケーショ ンデータなどの他の属性ベースの情報とともに、強力なパスワードポリシーを適用する。

  • ベンダーが提供するデフォルトのユーザー名とパスワードを変更または無効化

強力なパスワードの使用を強制する

  • システム上で漏洩した認証情報の使用を検出するためのモニタリングの設定

ネットワーク上で漏洩したパスワードや脆弱なパスワードが使用されないような管理を行う。

ログの一元管理の確立

  • 各アプリケーションやシステムが十分なログ情報を生成していることを確認する

ログファイルは、攻撃の検知やインシデントへの対応において重要な役割を果たします。
堅牢なログの収集と保持を実施することで、組織はインシデントの調査や脅威犯罪者の行動を検出するための十分な情報を得ることができます。
ログの収集と保存を実施する際には、以下の点を考慮してください。

  • 必要なログファイルの特定と決定
    これらのファイルは、システムログ、ネットワークログ、アプリケーションログ、およびクラウドログに関連する可能性があります。
  • 必要に応じてアラート通知を設定
    これには、ログファイルの分析に基づく疑わしいログイン試行に関する通知が含まれる必要があります。
  • システムログファイルを使用可能なファイル形式で保存
    記録されたタイムスタンプが正確で、正しいタイムゾーンに設定されていることを確認する。
  • ローカルシステムのログを、集中管理されたリポジトリまたはSIEM (Security Information and Event Management)ツールに転送
    SIEMツールは、強力なアカウント権限とネットワーク分離アーキテクチャにより強固に保護する必要があります。
  • ログファイルの保存期間について決定
    ログファイルを長期間保存しておけば、インシデント発生後、長期間にわたってログファイルを参照し、事実を判断することができます。
    一方、ログファイルにはプライバシーに関わる情報が含まれている場合があり、保管場所を安全に保護する必要があります。
    ログファイルへのアクセスを制限し、別のネットワークセグメントに保存することを推奨します。
    攻撃者がログファイルを変更または削除することができた場合、インシデント調査はほぼ不可能になります。

ウイルス対策ソフトの導入

  • ワークステーションにマルウェア対策ソリューションを導入します。
    オペレーティングシステムのセキュリティ基本方針の一環として、スパイウェア、アドウェア、マルウェアを防止するようにします。
  • アンチウイルススキャンの結果を定期的に監視する。

検出ツールの導入と脆弱性の調査

  • エンドポイントおよび検知対応ツールの導入
    これらのツールは、エンドポイントのセキュリティ状態を高度に可視化し、悪意のあるサイバー攻撃から効果的に保護するのに役立ちます。
  • 侵入検知システムまたは侵入防止システムを導入
    ネットワークおよびオンプレミスデバイスを悪意のある攻撃から保護します。
    シグネチャを使用して、既知の脅威の活動に関連する悪意のあるネットワーク活動を検出することができます。
  • ペネトレーションテストの実施し、設定ミスを特定
    定期的にペネトレーションテストを実施し、設定ミスの特定と修正を実施します。
  • 脆弱性スキャンを実施し、アプリケーションの脆弱性を検出
  • クラウドサービスプロバイダーのツールを使用して、共有されたクラウドストレージを検出し、異常なアクセスを監視

厳格なコンフィギュレーション管理プログラムの維持

  • インターネットに接続可能なホストは、常に安全な設定で運用
    ファイアウォールや、ドメイン・コントローラなどのより安全な内部ホストとのセグメンテーションを実装し、補償となる制御なしに外部アクセスを決して有効にしないようにします。
    インターネットに接続されたサービスのビジネスおよびミッション上の必要性を継続的に評価します。
    セキュリティ設定のベストプラクティス、特にインターネットからの文書に含まれるマクロのブロックを実装するようにします。

ソフトウェアとパッチの配布管理プログラムを開始

  • ソフトウェアを最新に保つための資産およびパッチ管理プロセスの実施
    脆弱性スキャンとパッチ適用作業を実施することにより、サポートされていない、使用期限が切れた、パッチが適用されていないソフトウェアとファームウェアを特定し、対処を検討する。
    既知の悪用される脆弱性へのパッチを優先的に適用する。既知の悪用される脆弱性情報は以下のリンクより確認ください。

引用:https://www.cisa.gov/known-exploited-vulnerabilities-catalog

おわりに

Qちゃん
Qちゃん

今回のブログにはサイバー犯罪者が初期アクセスに利用する手順であったり、既知の脆弱性情報だったりのリンクが追加であります。

有益な情報なので合わせて確認いただければと思います。

コメント

タイトルとURLをコピーしました