原文のブログはこちらからご覧いただけます。
ソーシャルエンジニアリングは、サイバー攻撃において有効な手口として利用されています。
ゼロトラストアプローチはソーシャルエンジニアリングを防いだり、その被害を軽減したりするのに役立つのでしょうか。
例として、あるデジタル通信企業により最近報告されたデータ漏洩について考えてみましょう。
ソーシャルエンジニアリングによる攻撃の結果
本ケースでは、脅威アクターは緊急事態であると見せかけて、企業内の何人かの従業員をだまして認証情報を提供させました。従業員は、パスワードの期限切れやスケジュールの変更について警告するテキストメッセージを受け取りました。
それらのメッセージには「ログイン」用とされるリンクが記載されていましたが、そのリンク先は、脅威アクターが入力内容を抜き取るために作成した偽のログインページでした。そして、少なくとも数人の従業員が自分の認証情報を入力してしまいました。
攻撃者はこの情報を利用してネットワークへのアクセス権を手に入れ、最終的にはこの企業の一部顧客に関連するデータを探っていました。被害に遭った企業はこの攻撃に関する記事の中で、他の企業も現在、同様の攻撃に直面していると記しています。
ソーシャルエンジニアリング攻撃には別の種類のものもあり、例えば脅威アクターは高度な音声フィッシング攻撃を利用することがあります。その中で、攻撃者は信頼できる組織になりすましたり、被害者のユーザーをだまして攻撃者によって開始された多要素認証(MFA)のプッシュ通知を受け入れさせたりしています。こうした攻撃が受け入れられると、脅威アクターは被害企業側のユーザーとして仮想プライベートネットワーク(VPN)にアクセスできるようになり、多くの場合は機密性の高いデータやシステムにアクセスできるようになってしまいます。また、このようなケースでは、企業の IT チームやセキュリティチームは自社の環境内で起こっていることを把握していない場合があります。
リモートアクセスのための暗号化ツールとして従来型の VPN は現在も広く使用されていますが、上記のような盲点はセキュリティ危機拡大の要因となっています。侵害が発生した場合、VPN はあまりにも多くのアクセス権を許容し、多数の悪用可能な脆弱性を提供してしまい、ネットワークリソースのドミノ倒しを引き起こします。ネットワークリソースは、現代の最新の脅威の中でますます大きな危険に晒されるようになっているのです。
ゼロトラストで VPN のリスクをどのように軽減できるか
VPN はネットワークへのリモートアクセスを提供する手法として時代にそぐわず、驚くほど脆弱であるため、多くの組織が VPN の限界を認識し、それに代わるものを求めています。こうした認識から、ゼロトラストアクセスへの関心が高まっています。ゼロトラストアクセスは、あらゆる場所からあらゆるアプリケーションにアクセスするための、比較的シンプルでスケーラビリティに優れた、よりセキュアな手法です。ゼロトラストは、ユーザーに「ジャストインタイム」かつ「過不足のない」のアクセス権を付与するという原則に基づいて動作します。そして、継続的な認証メカニズムによって組織の攻撃対象領域を大幅に削減する一方で、エンドユーザーにはシームレスで優れたパフォーマンスを提供します。
上述のようなソーシャルエンジニアリング攻撃の蔓延によって、ゼロトラストネットワークアクセス(ZTNA)ソリューションの導入ニーズがますます高まっています。このソリューションは、「パッチ適用」が不可能な脆弱性に対する保護を提供します。その脆弱性とはすなわち、ヒューマンエラーです。
ゼロトラストアプローチとは
基本的なレベルでは、ネットワークアクセスに対してゼロトラストアプローチを導入すると、管理者はネットワーク全体ではなく必要なリソースのみに対するアクセス権を提供できるようになり、潜在的な攻撃対象領域を縮小させることができます。こうしたきめ細かい権限管理によって、ソーシャルエンジニアリングや認証情報の窃取といった攻撃の影響を軽減できます。
しかし、ソーシャルエンジニアリング対策としての ZTNA の活用は、単なる VPN の置き換えにとどまりません。このソリューションは相互接続的なセキュリティ戦略に深く根ざしています。
この戦略で特に重視されているのは、ZTNA ソリューションとエンドポイントセキュリティエージェントの間の緊密な連携を確保することです。これは、アクセス管理とエンドポイントセキュリティ制御を単一のコントロールプレーンで集約することによって実現します。このアプローチでは、アクセス管理とエンドポイントセキュリティを同一のテナントから活用することで、エンドポイント保護と ZTNA のロックステップ手順を強固なものにしています。
また、エンドポイントセキュリティエージェントのアクティベーションの回数を、あらかじめ決めておいたデバイス数までに制限することによって、管理者がネットワークの健全性とリソース需要を監視できるようにします。これは、不正なデバイスが追加されないようにし、ネットワークアクセスを健全なデバイスのみに許可するために重要なポイントとなります。
さらに、プライベートなリソースへのアクセス時にユーザー再認証を義務付けることで、継続的な認証の使用を保証し、重要な情報の公開を管理できます。また、脅威アクターが不正アクセスを通じて獲得する可能性のある「足がかり」を最小限に抑えられます。
以上のようなゼロトラストの基本要素が組み合わさることで、きめ細かなアクセス管理が可能となり、ソーシャルエンジニアリングの脅威に対抗できるようになります。そして、ソーシャルエンジニアリング攻撃が組織にもたらす悪影響が制限されます。
ZTNA にユーザー/エンティティ行動分析を追加
ZTNA の基本要素にユーザー/エンティティ行動分析(UEBA)を追加して使用することは、ソーシャルエンジニアリングに対するもう 1 つの有力な武器となります。
UEBA は、通常のユーザーの行動パターンを記述し、異常な行動が発生した場合に管理者に向けてアラートを生成する強力なツールです。こうした異常な行動は、認証情報の窃取やソーシャルエンジニアリング攻撃を通じた脅威アクターの侵入など、悪意のある活動の最初の兆候であることがよくあります。
UEBA と ZTNA を協調動作させることによって、通常の行動からの逸脱が検出された場合に、侵害を受けたアカウントからのみネットワークリソースへのアクセスを、脅威アクターが排除されるまで一時的に拒否することができます。ZTNA と UEBA を連動させることによって、管理者は逸脱した行動を迅速に特定し、重要なリソースの侵害を防ぐ対策を講じることができるようになります。
また、これらのツールを協調させて活用することによって、通常とは異なる不正なデータ流出を早期に検知して対応する機会が得られます。そのような活動は、ネットワーク上のなりすましやエンドポイント上のランサムウェア攻撃の初期徴候であることがよくあります。目標とすべきは、そうした侵害の影響がネットワークの残りの部分へ及ぶ前に、それを迅速に検知して対応することです。
ZTNA の基盤と UEBA との関係を高度に管理できるソリューションを使用することは、ソーシャルエンジニアリングのような目に見えない巧妙な攻撃に対処するための重要な武器となります。
ZTNA の組み込みの脅威予防
ZTNA の基盤と UEBA を組み合わせることによって、高度な組み込みの脅威予防が実現します。この検知と保護の手法には、次のものが含まれます。
- 侵入検知システム(IDS) / 侵入防止システム(IPS)のルール:これを利用することで、悪意のある活動やポリシー違反を検知し、それらが発生した場合にレポート、ブロック、ドロップといった防御策を取ることができます。
- 接続先レピュテーション分析:既知の悪意のある接続先のアクターがネットワークリソースへのアクセスを試みている場合にそれを検知します。窃取された認証情報を使用して信頼できるユーザーになりすましている場合でも検知が可能です。
包括的に機能する組み込みの脅威予防は、ZTNA を活用するうえでの重要な要素となります。ソーシャルエンジニアリング攻撃の発生時の検知だけでなく、攻撃を積極的に押し返し、防御することが可能です。この保護は、脅威アクターがアクセス権を手に入れてネットワーク内を横方向に移動し始める前に、ネットワークの安全を確保します。
詳細情報
BlackBerry® のサイバーセキュリティソリューションを導入し、ZTNA を活用してソーシャルエンジニアリングや増え続けるその他の脅威ベクトルに対処する方法について、詳しくはこちらをご覧ください。
参照情報
- なぜ ZTNA なのか、なぜ今なのか―ゼロトラスト・ネットワーク・アクセス(ZTNA)によるネットワークセキュリティの変革
- Follina Vulnerability Guide
- DNS トンネリング攻撃とは?組織における対策方法を解説
- Making Zero Trust Easy, Available, and Affordable
- Twillio Incident Report: Employee and Customer Account Compromise
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos