ゼロトラスト博士のブログ

  • ゼロトラスト
  • セキュリティニュース
2021.07.28

国家機関からの世界200以上の組織に対する大規模攻撃

国家機関からの世界200以上の組織に対する大規模攻撃

某国家機関からの世界200以上の組織に対する大規模攻撃が明らかに

NSA、CISA、FBI、NCSC(英国サイバーセキュリティセンター)が7月1日に共同で、某国家機関によるサイバー攻撃が、世界各国200以上の組織に対して2019年半ばより行われていることを明らかにしました。

Russian GRU Conducting Global Brute Force Campaign to Compromise Enterprise and Cloud Environments(英語サイト)
https://media.defense.gov/2021/Jul/01/2002753896/-1/-1/1/CSA_GRU_GLOBAL_BRUTE_FORCE_CAMPAIGN_UOO158036-21.PDF

この攻撃は現在進行中であり、ターゲットは主に米国とヨーロッパに集中しています。
標的は、政府や軍、防衛関連企業、エネルギー企業、高等教育機関、物流企業、法律事務所、メディア企業、政治コンサルタントや政党、シンクタンクなどです。


戦術、技術、手順(TTP)とは

標的組織への最初のアクセス獲得のために狙われたのはMicrosoft 365のクラウドサービスのアカウントで、通常のブルートフォースよりも検知されづらいパスワードスプレーによって不正ログインに成功すると、メール情報を収集し、ログインに成功したクレデンシャルを使って組織ネットワークに不正アクセスし、既知の脆弱性とリモートコード実行を駆使して侵害範囲を拡大していきます。
リモートアクセスを獲得したあとは、標的型攻撃に共通的に用いられる戦術、技術、手順(TTP)を組み合わせて、ラテラルムーブし、さらに侵害範囲を広げ、検知をかいくぐりながら情報を抜き取ります。

この新しい攻撃手法を最初に発見したマイクロソフトは、2020年9月のレポートにおいて、200以上の組織に対して、数万アカウントを狙う大規模な攻撃も観測されてはいたものの、対策が作動しないように、攻撃元のIPアドレスブロックに分散させるなどして、同一の組織による攻撃だと気付かれないようにしていたことを明らかにしています。大規模でありながら標的ごとにカスタマイズされた攻撃を可能にしていたのは、Kubernetesとコンテナをブルートフォースに用いていたからです。

さらにTorや、商用のVPNも経由させており、かつHTTPS、IMAPS、POP3、NTLMなど、さまざまなプロトコルと通知チャネルを使い分けていたため、検知のすり抜けや攻撃の全体像の把握をより困難にしていました。

最も効果的な対策は、このレポートが指摘しているように最初のパスワードスプレーによる不正アクセスを成功させないための多要素認証の導入です。また、ネットワーク侵害後のラテラルムーブを防止するためにネットワークリソースへのアクセスを検証したり、SaaSに商用VPNやTOR経由のアクセスを拒否することも有効です。
これらは全てゼロトラストの戦略に合致する対策です。


国レベルの高度なサイバー攻撃にもゼロトラストが有効

攻撃の対象が広範囲に渡った理由は、単にこれらの組織への攻略の足がかりとなるクレデンシャルが手に入り、攻撃しやすかったからでしょう。攻撃してみて簡単に攻略できないとわかれば他の標的に攻撃対象を移したことでしょう。
今回判明した大規模な攻撃を防ぐにあたり、AIを駆使したり、SIEMで分析したりする必要もありません。
つまり、ゼロトラストの基本的な対策だけでこれらの攻撃は防ぐことができたということです。


3年で連邦政府機関のゼロトラスト化を大きく前進させる計画

このようなサイバー攻撃から国や社会インフラを守るため、ジョー・バイデン大統領がサイバーセキュリティに関する大統領令に署名してから約2カ月が経過しましたが、CISAのサイバーセキュリティの副事務局長であるマット・ハートマンは、今後3年以内に連邦政府全体がゼロトラストにおいて大きな進歩を遂げることができるはずだと述べています。

Federal News Networkが発表したレポート
CISA sees zero trust adoption coming into focus under cyber executive order(英語サイト)
https://federalnewsnetwork.com/cybersecurity/2021/07/cisa-sees-zero-trust-adoption-coming-into-focus-under-cyber-executive-order/

CISAは、ID、デバイス、ネットワーク、ワークロード、データという、5つの柱に焦点を当てたゼロトラスト成熟度モデルを発表しています。これは私が開発したZero Trust eXtended (ZTX)とも共通するところなので、しっくり来ます。また、成熟度を上げるには、スモールスタート、一度に全部やろうとしない、機敏に動く、組織の壁を取り払うリーダーシップが大事だとしていて、まさに的を得ていると思います。

「何年でゼロトラスト化できるでしょうか?」という質問は最も多い質問のうちの1つです。
政府のIT、組織、データはとにかく膨大ですから、早くとも3年、普通に考えれば5年から7年くらいはかかると思いますが、政府の素早い動きが民間へのゼロトラスト普及にさらに拍車をかけることでしょう。


ブログ編集者のプロフィール

入社以来一貫して外資のITベンダーを担当。
アシストに技術者として新卒入社したが、5年目で
プロダクトマーケティングにジョブチェンジして以来18年以上従事。
Ericom社製品を2011年の立ち上げから一貫して担当。
難解なテクノロジーをわかりやすい言葉で伝えるのが得意。
サイバーセキュリティの啓蒙と普及に情熱を持って取り組む。

著者 青木裕明

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者層に、サイバー攻撃被害のリスクとゼロトラストの必要性を理解してもらうには、どのような進め方が良いのか?企業が意識すべき重要なポイントと合わせてご紹介します。

  • ゼロトラスト
  • セキュアブラウジング
  • セキュリティニュース
2021.06.29

重要インフラはランサムウェア等サイバー攻撃にゼロトラストで対処せよ

重要インフラ事業者がランサムウェア攻撃グループに狙われています。 脅威の最大の侵入経路をゼロトラストのアプローチでしっかり閉じて対策しましょう。

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

FBI職員が機密情報を持ち帰って逮捕される事件が発生。2ヶ月に一度のトレーニング徹底でも発生した機密漏洩にゼロトラストができることとは?

ページの先頭へ戻る