メニュー
政府機関や民間・公共企業を標的にしたSolarWinds社の攻撃について、私の考えをお伝えしたいと思います。FireEye社が素晴らしい記事(高度に回避的な攻撃者がSolarWindsのサプライチェーンを活用し、SUNBURSTバックドアで世界中の複数の被害者を危険にさらす方法にかんして)を掲載していますので、皆さんにも是非読んでいただき、攻撃方法や攻撃経路について理解していただきたいと思います。今後数ヶ月の間に、多くの企業が被害に遭ったことを発表すると思いますが、残念ながら公には発表しない企業も多いでしょう。
初期の指標では、責任者は国民国家のアクターであるとされています。国家機関の重要な戦略の1つは、検知を逃れるために足跡を最小限に抑えることです。この攻撃では、高度な手法を用いてマルウェアの配信とペイロードを難読化し、その後、侵害された管理者資格情報を用いて横移動を行います。
横移動戦略は検知が非常に難しく、攻撃者はこの手法で最もうまく回避することができます。国家機関、ランサムウェア、その他の攻撃の種類を問わず、侵害された管理者認証情報を利用した横移動は、今日のサイバー攻撃で使用される主要な手法の1つであり続けています。横移動の最大の課題は、有効な認証情報が正当に使用されているのか、それとも悪意を持って使用されているのかを見分けるのが難しいことです。
横方向の動きを検知することは困難ですが、適切なツールを用いて、管理者をゼロトラスト特権アクセスモデルにすることで、横方向の動きを封じ込め、防止することができます。エンドポイントに対するクレデンシャルのすべてのアクセスを無効にして、横移動に使用できないようにすることができます。いったんアクセス権が取り除かれると、アクセス要求は多要素認証(MFA)で検証され、リスクを最小限に抑えるために時間とリソースが制限された状態で追加されます。業界の最新の推奨事項は、特権アクセスのゼロトラストモデルを採用することです。これは、ゼロ・スタンディング・プリビレッジ(ZSP)とジャストインタイム・アクセス(JITA)を組み合わせたものです。大規模なワークステーションやサーバの管理者権限を削除することで(ZSP)、攻撃者がエンドポイントからエンドポイントへと横移動する能力を劇的に低下させます。Just-in-Time Access(ジャストインタイム・アクセス)は、多要素認証を取り入れ、業務を妨げることなく、必要な時間だけ、特定のシステムに管理者を動的にプロビジョニングします。ZSP/JITAモデルの導入に成功すれば、SolarWindsの攻撃から横方向の動きを効果的に排除することができます。
NCSC Threat Reports Feed© 2021 CyberEnsō – 日本サイバーディフェンス株式会社。全著作権所有。
