ハイブリッド型攻撃経路からのサイバー攻撃による被害は約 10 億ドル。阻止するには、実行可能な攻撃経路をマッピングして遮断する

クラウドのセキュリティを確保する唯一の方法はベストオブブリードであると一般的には考えられています。 しかし、SolarWinds や Capital One の侵害で悪用されたような、複数のセキュリティ領域を横断するハイブリッド攻撃経路の場合はどうなのでしょうか。 攻撃者によるラテラルムーブメントの糸口となるギャップを明らかにするには、セキュリティサイロを横断する可視性と文脈が必要です。

ソフトウェアサプライチェーンを侵害した 2020 年の SolarWinds の侵害に関連する潜行性の攻撃では、多くの場合、オンプレミスからクラウドインフラまでまったくチェックされることなく攻撃が進行していました。 また 2019 年の Capital One の侵害のように、脆弱なウェブアプリケーションが悪用され、最終的にクラウドインフラに格納されていた顧客データが流出したケースもありました。 これらは従来のセキュリティサイロを超えて発生し、注目を集めたクラウド侵害の 2 例に過ぎませんが、サイロ化されたアプローチでは侵害防止が困難であることを示唆しています。

担当しているのがクラウド環境の保護であれ、アタックサーフェス全体の保護であれ、たとえ最高のポイントツールを使用したとしても、攻撃者が環境間を移動して価値の高いターゲットを侵害する際に悪用するギャップを明らかにして解決するのに必要となるレベルの可視性を得ることはできません。

過去 18 か月間のクラウド関連の侵害

出典： Tenable、2024 年クラウドセキュリティの展望: 障壁の克服と優先事項の設定

このブログでは、SolarWinds と Capital One の侵害について、攻撃者が使用した手法、また攻撃の成功を許してしまったセキュリティ上の慣習などを含めて詳しく説明します。 さらに重要な点として、既存のセキュリティ対策を強化する方法、また、捉えにくい攻撃者の視点を理解し、最も巧妙な攻撃者でさえも阻止する方法についても説明します。

「「SolarWinds の侵害」では、巧妙な認証のエクスプロイトに加え、脆弱性と主要な認証プロトコルも悪用されていました。これによって侵入者は IT 環境の支配権をおおむね獲得し、オンプレミスとクラウドベースのサービスの両方を、検出を回避しながら巧みに移動できるようになりました」

— 米国上院情報特別委員会 委員長、 Mark R. Warner 上院議員 (民主党、バージニア州選出) SolarWinds 社のヒアリングから、2021 年 2 月 23 日

SolarWinds: 最高のクラウドセキュリティソリューションでも効果は不十分

この SolarWinds Orion インフラ管理プラットフォームに対する侵害は、経済的損失が推定で総額約 10 億ドルにのぼり、また膨大な数の組織が影響を受けたことから、史上最も被害が大きい侵害の 1 つとなっています。 これに対処するため、米国政府だけで 7 億 5,000 万ドル以上を投じてセキュリティシステムをアップグレードしました。 保険会社が請求を受けて支払った保険金は 9,000 万ドルにのぼりました。 また SolarWinds は初年度だけで 4,000 万ドルを費やし、さらに投資家訴訟の和解のために 2,500 万ドルを支払いました。

SolarWinds Orion ソフトウェアに悪意のあるコードが埋め込まれた攻撃では、金銭的な影響があっただけでなく、無数のベンダーや顧客にこれまで信頼され、日常的に使用されてきたサプライチェーンプロセスに疑いを挟む余地も生じました。

報告によると、ロシアの諜報機関に指示された攻撃者は、まず SolarWinds の開発環境を侵害し、最終的なビルドプロセスの前に Sunburst と呼ばれる悪意のあるコードを Orion プラットフォームに注入しました。 その後、このソフトウェアは約 1 万 8,000 の組織 (米国国防総省、 国土安全保障省、財務省、その他の国の多数の政府機関、また Cisco、Intel、Microsoft、Mandiant、Palo Alto Networks といった大手企業など) に自動的に送信されました。 この Sunburst コードによって、マシンの権限とともに、攻撃者が標的の組織に最初に侵入する際に利用できるバックドアが提供されました。

攻撃者にとってセキュリティサイロは無意味

その後の SolarWinds の顧客に対する侵害では、オンプレミスで最初の足がかりを得てクラウドへのラテラルムーブメントを行うために、Orion ソフトウェアのバックドアが頻繁に悪用されました。 標的となった組織で既存のクラウドセキュリティツール、ネットワークセグメンテーション、多要素認証 (MFA) がどの程度使用されているかに関係なく、攻撃者はクラウドへの移動に成功していました。

攻撃者は、標的組織のネットワークに初期アクセスした後、一般的なツールや手法を使用して、パッチ未適用の脆弱性や設定ミスを悪用し、価値の高いターゲットへのラテラルムーブメントを実行しました。 たとえば、攻撃者は mimikatz を使用して LSA シークレットとして保存されている認証情報に頻繁にアクセスし、Microsoft Active Directory に不正なドメインコントローラーを作成して、最終的に Active Directory フェデレーションサービスを制御できるようになりました。

SolarWinds の侵害で使用された手法

出典： Tenable、2024 年 10 月

次いで攻撃者は SAMLトークンを偽造して MFA をバイパスし、SSO に SAML を使用するクラウド (Microsoft Azure や Office 360) へのラテラルムーブメントを実現しました。 攻撃者は自身に完全な管理者権限を付与できただけではなく、正当なユーザーとしても認証されました。 いったんそれぞれのクラウドへのアクセスが許可されると、従来のクラウドセキュリティでは阻止することが事実上不可能でした。

Active Directory を使用する組織の 40% には、攻撃者が頻繁に悪用する、深刻度が「重大」または「高」のパッチ未適用の脆弱性が存在します。

— Tenable Research (Active Directory を使用する 9,000 の組織のデータに依拠)

Capital One: 関係性の文脈がなければ、セキュリティは幻想に過ぎなかった

SolarWinds の侵害とは異なり、Capital One の侵害は同社の Amazon Web Services (AWS) クラウドインフラを標的としたもので、クラウドインフラでよく見られるセキュリティサイロを横断した移動が容易であることを示すものでした。

ウェブアプリケーションは攻撃者の主な侵入経路

出典： Verizon 2024 年データ漏洩/侵害調査報告書、侵入経路として最も多かったのはウェブアプリケーションであり、エラーや誤用以外による侵害の約 60% で使用されていました。

Amazon Web Services (AWS) の元エンジニアである攻撃者は、まず外部に露出しているウェブアプリケーションを悪用してマシン権限を獲得しました。 その後マシンのアイデンティティを悪用して認証情報にアクセスし、権限をさらに昇格させました。 そして最終的には設定ミスを悪用し、クラウドオブジェクトストレージに保存されている機密データを見つけ出して抽出しました。 ではそれによって何が実現するのでしょうか。1 億件を超える Capital One ユーザーの機密データが流出したのです。

すぐに明らかにならなかったのは、こういった個々の検出結果は、通常ウェブアプリケーションスキャン、クラウドセキュリティ態勢管理 (CSPM)、クラウドインフラ権限管理 (CIEM) などの個別のセキュリティツール (およびチーム) によってそれぞれ特定されるためです。 いずれのツールも単独では、攻撃経路の重要性や全体像を特定する際に必要な技術面、ビジネス面の文脈を十分に把握できていませんでした。

Capital One の侵害で使われた手法

出典： Tenable、2024 年

DX 時代のアタックサーフェスを保護するための、より優れたアプローチ

では、これらの攻撃からどのような教訓を得られるのでしょうか。また、それを既存のセキュリティプログラムの文脈にどのように適用すれば、より良い成果を得られるのでしょうか。

• 侵害はあらゆる場所で発生し、攻撃者はどこにでも移動する可能性があります。 発生した場所がオンプレミスであれクラウドであれ、初期攻撃手法の中には、サプライチェーン攻撃やフィッシング攻撃など、完全な防止が事実上不可能なものがあります。 したがって、潜在的な侵入口を特定するだけでなく、攻撃者によるラテラルムーブメントの機会を閉ざすためには、アタックサーフェス全体のすべての資産とその関係性の完全な可視化が不可欠です。

エラーや誤用以外による侵害で選択された手法の推移

出典： Verizon 2024 年データ漏洩/侵害調査報告書

• あらゆる侵害は、アイデンティティの侵害です。 攻撃者が、脆弱性や設定ミスを悪用して資産を侵害する場合でも、ソーシャルエンジニアリング攻撃や盗まれたパスワードを使用してユーザーアカウントを乗っ取る場合でも、あらゆる攻撃が目指すところはアイデンティティ (人間であれマシンであれ) を悪用して権限を昇格することです。最終的には、管理者アカウントや Active Directory などのアイデンティティシステム、または重要なビジネスアプリケーションやデータストアなどの最重要資産を制御できるようにすることが目的となります。
• 文脈がなければセキュリティは幻想に過ぎません。 セキュリティのサイロ化は避けられず、むしろ必要とされる場合が多いのが現状です。しかし、資産、アイデンティティ、リスクの関係性、そしてそれらが最重要資産に与える潜在的な影響を統合的に可視化できなければ、 組織は有効な攻撃経路、つまり攻撃者が初期アクセスの獲得後、最終的に悪用する経路を効果的に特定し、遮断するために必要な攻撃者の視点を持つことができません。

当然のことながら、問題なのは従来のセキュリティツールがこのような点を考慮して設計されていないことです。

サイバーエクスポージャー管理が、可視性、インサイト、アクションを統合

Tenable One のようなサイバーエクスポージャー管理プラットフォームの役割は、アタックサーフェス全体の可視性、インサイト、アクションを統合することです。 Tenable One は、マルチクラウド環境全体で資産、アイデンティティ、リスクの関係性を検出するだけでなく、オンプレミスの IT、オペレーショナルテクノロジー (OT)、モノのインターネット (IoT) の資産とアイデンティティも検出します。 

サイバーエクスポージャー管理とは、ビジネス整合的な資産、アイデンティティ、リスクの関係性という形の詳細な文脈を活用して、通常のリスク検出結果と、組織に重大な影響を与える可能性のある真のエクスポージャーを区別する予防的なセキュリティ戦略です。 サイバーエクスポージャー管理が他と異なるのは、アタックサーフェス全体 (クラウド、IT、OT、IoT、アイデンティティ、アプリケーション) と、あらゆる侵害を可能にする予防可能なすべてのリスク (脆弱性、設定ミス、人間とマシンの権限) に注目し、侵害が始まる前に利用可能な攻撃経路を明らかにして遮断できる点です。

たとえば、Tenable One のインベントリには Active Directory の人間およびマシンのアイデンティティと権限が含まれています。これは Tenable Identity Exposure によって提供されます。 この情報は、Tenable Cloud Security によって提供されるマルチクラウドのアイデンティティや権限と統合されます。 これらを組み合わせることで、Tenable One では従来のセキュリティ境界を越えて技術上、ビジネス上の関係性をマッピングし、SolarWinds や Capital One の侵害で利用されたような攻撃経路に優先順位を付けることができます。 

以下の短い動画では、SolarWinds と Capital One の侵害で悪用された可視性のギャップを、Tenable One がどのように発見して解消し、攻撃者が悪用する前にユーザーが高リスクの攻撃経路を修正できるようにするかを紹介しています。

出典： Tenable、2024 年 10 月

Tenable One の機能が他のサイバーエクスポージャー管理プラットフォームと一線を画しているのは、主に以下の 2 つの点です。

• クラウド専用のサイバーエクスポージャー管理プラットフォーム (CNAPP とも呼ばれる) は、パブリッククラウドの資産、アイデンティティ、リスクに重点を置いています。 つまり、クラウド環境とハイブリッド環境にまたがるセキュリティリスクは見逃す可能性があるということです。
• 他のサイバーエクスポージャー管理プラットフォームは、アタックサーフェス全体の資産 (IT、OT、IoT、クラウドなど) の特定に重点を置いていますが、実質的にあらゆる攻撃の進行に利用されるアイデンティティとその権限に関する可視性が欠如しています。

サイバーエクスポージャー管理について、詳細はホワイトペーパー「Hackers Don’t Honor Security Silos: 5 Steps To Prioritize True Business Exposure (攻撃者はセキュリティサイロを尊重しない: 真のビジネスエクスポージャーを優先して解決するための 5 つのステップ)」をダウンロードしてご一読ください。

このブログで紹介されている Tenable 製品の詳細情報

• Tenable One は、世界で唯一の AI を活用したサイバーエクスポージャー管理プラットフォームです。その目的は DX 時代のアタックサーフェス全体にわたってセキュリティの可視性、インサイト、アクションを根本的に統合し、優先度が高くビジネスリスクを高めるギャップを迅速に可視化して解決することです。 セキュリティリーダーは Tenable One を使用して、IT からクラウド、OT、そしてそれらのはざまに至るまでのあらゆる場所に対する攻撃を防ぐことができます。
• Tenable One の一部として利用できる Tenable Cloud Security は、マルチクラウド環境全体にわたるリスクの特定と修正を簡素化する、包括的な CNAPP ソリューションです。 可視性にギャップが生じるサイロツールとは異なり、Tenable Cloud Security はすべてのクラウド資産、アイデンティティ、機密データ、リスクをマッピングすることで、企業にとって最大の脅威となるリスクの有害な組み合わせを特定し、サイバー空間に露呈されたリスクの低減と生産性の向上を後押しします。
• 同様に Tenable One の一部として利用できる Tenable Identity Exposure は、アイデンティティベースの攻撃に対する新たなレベルのエンドツーエンドの保護を DX 時代の企業に提供します。 この並外れたソリューションは、アイデンティティベースのエクスプロイトが蔓延するセキュリティギャップを切り分け、排除します。 アイデンティティ環境全体で優先度の高いサイバーエクスポージャーを見つけて修正し、セキュリティ態勢を強化して攻撃を未然に防ぐことで、リスクを軽減します。