侵害された米国教育サイトのクレデンシャル情報が様々な公開サイト、ダークウェブサイトに漏洩

仕事
Qちゃん
Qちゃん

おはようございます、こんにちは、こんばんは

Qちゃんです。

今日は米国の教育関連サイトに対するクレデンシャル情報の盗難に関してFBIが注意喚起している内容を紹介していきたいと思います。

概要

FBIは、米国の大学のクレデンシャルがオンライン犯罪マーケットプレイスや一般にアクセス可能なフォーラムで売りに出されていることを学術パートナーに通知しています。

このように機密性の高いクレデンシャルやネットワークアクセス情報、特に特権的なユーザーアカウントが流出すると、その後、個々のユーザーや関連組織に対するサイバー攻撃につながる可能性があります。

引用:https://www.ic3.gov/Media/News/2022/220526.pdf

脅威情報

サイバー犯罪者は、米国の大学に対する攻撃を継続的に行っており、ユーザー情報が公開されたり、サイバー犯罪者のフォーラムで公開されたりする事象が発生しています。

組織に対するクレデンシャル・ハーベスティングは、スピアフィッシング、ランサムウェア、またはその他のサイバー侵入戦術の副産物であることがよくあります。

例えば、2017年、サイバー犯罪者は大学をターゲットに、大学のログインページを複製し、フィッシングメールにクレデンシャルハーベスターリンクを埋め込んで、.eduアカウントをハッキングしました。

そして、首尾よく収穫されたクレデンシャルは、サイバー犯罪者のサーバーから自動送信されるメールで送られました。

このような手口は、2021年12月に米国企業のセキュリティ研究者が発表した、大学のログイン認証情報を盗むためのCOVIDをテーマにしたフィッシング攻撃で優勢を維持し、激化しているとのことです。

FBIでは、盗まれた高等教育機関のクレデンシャル情報が、一般にアクセス可能なオンラインフォーラムに掲載されたり、犯罪者のマーケットプレイスに出品される事例を確認しています。

ユーザ名とパスワードの流出は、ブルートフォース・クレデンシャル・スタッフィング(総当り攻撃)によるコンピュータ・ネットワーク攻撃につながる可能性があります。

この攻撃では、脅威犯罪者が複数のインターネット・サイトにわたってログインを試みたり、その後のサイバー攻撃で悪用したりするため、ユーザーは複数のアカウントやインターネット・サイト、サービスにわたって同じ認証情報を再利用することになります。

攻撃者が被害者アカウントの侵害に成功した場合、保存されている情報の流出、クレジットカード番号やその他の個人識別情報の活用や再販、不正取引の送信、アカウント所有者に対するその他の犯罪行為への悪用、関連組織に対する後続の攻撃への利用を試みる可能性があります。

  •  2022年1月現在、ロシアのサイバー犯罪者フォーラムでは、米国内の多数の特定された大学のネットワーク認証情報、VPN(仮想プライベートネットワーク)へのアクセス権が販売、一般公開されており、その一部にはアクセスの証拠としてスクリーンショットが掲載されています。認証情報を販売するサイトでは、通常、数千米ドルから数万米ドルの価格が表示されていました。
  • 2021年5月、一般に公開されているインスタントメッセージングプラットフォームで、.eduで終わるメールアカウントのメールとパスワードの組み合わせ36000件以上(一部は重複している可能性がある)が確認されました。漏洩したデータを投稿していたグループは、盗まれたログイン認証情報の売買やその他のサイバー犯罪行為に関与していたようです。
  •  2020年後半、ダークウェブでドメイン.eduを持つ米国領の大学アカウントのユーザー名とパスワードが売りに出されているのが発見されました。販売者は、約2,000のユニークなユーザー名とそれに付随するパスワードを掲載し、特定されたビットコインウォレットへの寄付を要求していました。2022年初頭の時点で、認証情報を含むサイトにはもうアクセスできない状態になっています。

推奨事項

FBI は、大学(College&University)、その他すべての学術団体に対し、各地域の FBI 支部と強力な連絡関係を構築し、維持することを推奨しています。

すべてのFBI支局の所在地と連絡先は、www.fbi.gov/contact-us/field-offices で確認できます。

このような連携を通じて、FBI は、学術機関に対する脆弱性を特定し、潜在的な脅威の活動を軽減するための支援を提供することができます。
さらに FBI は、学術機関に対し、サイバーインシデントの影響を受けた場合に組織が取るべき行動を列挙したインシデント対応計画およびコミュニケーション計画を見直し、必要に応じて更新することを推奨しています。

さらに、侵害のリスクを軽減するために、次のような緩和策を検討してください。

  • すべてのオペレーティング・システムとソフトウェアを常に最新の状態に保つ。タイムリーなパッチ適用は、組織がサイバーセキュリティの脅威にさらされる機会を最小限に抑えるために、最も効率的で費用対効果の高い手順の一つです。定期的にソフトウェアのアップデートと製造終了(EOL)通知を確認し、既知の脆弱性を悪用したパッチを優先的に適用する。ソフトウェアのセキュリティ・スキャンとテストを可能な限り自動化する。
  • 学生や教職員を対象としたユーザートレーニングやフィッシング演習を実施し、疑わしいウェブサイトへのアクセス、疑わしいリンクのクリック、疑わしい添付ファイルを開くことの危険性について認識を深める。
  • パスワードログインが可能なすべてのアカウントに強力でユニークなパスワードを要求し、パスワードの不正試行に対するロックアウトルールを設定する。複数のアカウントにまたがるパスワードの再利用や、敵対者がアクセスする可能性のあるシステム上の保存は避ける。
  • 特に、重要なシステムにアクセスするアカウント、Webメール、VPN(仮想プライベートネットワーク)、バックアップを管理する特権アカウントには、できるだけ多くのサービスで多要素認証(MFA)、できればフィッシング耐性認証機能を使用することを義務付けます。
  • アカウントと認証情報の使用場所を制限し、ローカルデバイスの認証情報保護機能を使用することで、認証情報の露出を減らし、認証情報保護を強化する。
  • ネットワークをセグメント化し、悪意のある者による不正アクセスやマルウェアの拡散を防止する。
  • ネットワーク上の横方向の動きを含め、すべてのネットワーク・トラフィックを記録・報告するネットワーク・モニタリング・ツールを使用して、異常な活動を特定、検出、調査する。
  • 異常検知ツール(IDS/IPS/SIEM/EDR等)を使用し、トラフィックや認証失敗の異常な活動を特定する。
  • 権限付与ポリシーにより、最小権限の原則を適用する。アカウント権限は明確に定義し、範囲を限定し、定期的に使用パターンに照らし合わせて監査する。
  • リモートデスクトッププロトコル(RDP)の使用を保護し、厳密に監視する。
    • 内部ネットワーク経由のリソースへのアクセスを制限する。特に RDP を制限し、仮想デス クトップインフラストラクチャを使用する。RDP が運用上必要と判断された場合は、発信元を制限し、認証情報の盗難や再利用を防止するために MFA(多要素認証) を要求する。RDP を外部から利用する必要がある場合は、VPN、仮想デスクトップインフラ、またはその他の手段を使用して、接続の認証と安全を確保してから RDP による内部デバイスへの接続を許可するようにします。リモートアクセス/RDPのログを監視し、ブルートフォースキャンペーンをブロックするために指定回数試行した後にアカウントのロックアウトを実施し、RDPログイン試行を記録し、未使用のリモートアクセス/RDPポートを無効にすること。
    • デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。業務上使用されていないポートやプロトコルを無効化する(例:RDP Transmission Control Protocol Port 3389)。
    • ネットワーク内のサーバーメッセージブロック(SMB)プロトコルを制限し、必要なサーバーにしかアクセスできないようにし、古いバージョンのSMB(SMBバージョン1など)を削除または無効化する。脅威犯罪者は、SMBを使用して組織全体にマルウェアを伝播させるような攻撃を実施します。
    • サードパーティベンダーおよび組織と相互接続しているベンダーのセキュリティ状況を確認する。サードパーティベンダーと外部のソフトウェアまたはハードウェアとの間のすべての接続を監視し、疑わしい行為がないか確認する。
    • アプリケーションとリモートアクセスについて、確立されたセキュリティポリシーの下で既知かつ許可されたプログラムの実行のみをシステムに許可するリストポリシーを導入する。
  • 外部からのリモート接続を文書化する。組織は、リモート管理および保守のための承認されたソリューションを文書化し、承認されていないソリューションがワークステーションにインストールされている場合は、直ちに調査する必要があります。

おわりに

Qちゃん
Qちゃん

教育機関は毎年生徒の入学、卒業があるのでクレデンシャル情報に関する保護と関係者へのトレーニングが重要になってきます。

日本も同様だと思いますので、教育機関の皆様、注意ください。

コメント

タイトルとURLをコピーしました