The Role of Admin Credentials in the SolarWinds Attack
12月 15, 2020
Kia Motors Americaがランサムウェア攻撃により身代金2000万ドルを請求される事態に
3月 18, 2021

SolarWinds社の攻撃における管理者権限の重要度

政府機関や民間・公共企業を標的にしたSolarWinds社の攻撃について、私の考えをお伝えしたいと思います。FireEye社が素晴らしい記事(高度に回避的な攻撃者がSolarWindsのサプライチェーンを活用し、SUNBURSTバックドアで世界中の複数の被害者を危険にさらす方法にかんして)を掲載していますので、皆さんにも是非読んでいただき、攻撃方法や攻撃経路について理解していただきたいと思います。今後数ヶ月の間に、多くの企業が被害に遭ったことを発表すると思いますが、残念ながら公には発表しない企業も多いでしょう。

主な攻撃者の戦略:
侵害された管理者情報を用いて、システムからシステムへの横移動を行う。

初期の指標では、責任者は国民国家のアクターであるとされています。国家機関の重要な戦略の1つは、検知を逃れるために足跡を最小限に抑えることです。この攻撃では、高度な手法を用いてマルウェアの配信とペイロードを難読化し、その後、侵害された管理者資格情報を用いて横移動を行います。

図: 攻撃者の横移動を可能にする管理者の資格情報の役割

検知に関する課題:
横移動時に有効なクレデンシャルと侵害されたクレデンシャルを区別することが難しい。

横移動戦略は検知が非常に難しく、攻撃者はこの手法で最もうまく回避することができます。国家機関、ランサムウェア、その他の攻撃の種類を問わず、侵害された管理者認証情報を利用した横移動は、今日のサイバー攻撃で使用される主要な手法の1つであり続けています。横移動の最大の課題は、有効な認証情報が正当に使用されているのか、それとも悪意を持って使用されているのかを見分けるのが難しいことです。

 

ゼロトラスト特権アクセスによる対応と予防:

 

24時間365日の管理者アクセスを削除することで、たとえ侵入されたとしても横方向の動きが発生しないようにします。

横方向の動きを検知することは困難ですが、適切なツールを用いて、管理者をゼロトラスト特権アクセスモデルにすることで、横方向の動きを封じ込め、防止することができます。エンドポイントに対するクレデンシャルのすべてのアクセスを無効にして、横移動に使用できないようにすることができます。いったんアクセス権が取り除かれると、アクセス要求は多要素認証(MFA)で検証され、リスクを最小限に抑えるために時間とリソースが制限された状態で追加されます。業界の最新の推奨事項は、特権アクセスのゼロトラストモデルを採用することです。これは、ゼロ・スタンディング・プリビレッジ(ZSP)とジャストインタイム・アクセス(JITA)を組み合わせたものです。大規模なワークステーションやサーバの管理者権限を削除することで(ZSP)、攻撃者がエンドポイントからエンドポイントへと横移動する能力を劇的に低下させます。Just-in-Time Access(ジャストインタイム・アクセス)は、多要素認証を取り入れ、業務を妨げることなく、必要な時間だけ、特定のシステムに管理者を動的にプロビジョニングします。ZSP/JITAモデルの導入に成功すれば、SolarWindsの攻撃から横方向の動きを効果的に排除することができます。

図を見る 攻撃者の横方向の動きを抑えるためのZSP / JITAの役割

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です