従業員を標的としたソーシャルエンジニアリングにより企業システムへの潜入攻撃は続いています：ZTNA による防御が必要です

従業員を標的としたソーシャルエンジニアリング攻撃による絶え間ない企業システムへの潜入：ZTNA による防御

原文のブログはこちらからご覧いただけます。

従業員を狙ったソーシャル・エンジニアリング攻撃が、企業システムへの侵入を続けています。BlackBerryの専門家は、最近、TwilioとCiscoにおける攻撃を紹介しました。今回、この類似の攻撃手法により、人気の高いライドシェアリングとフードデリバリーサービスのUberが危険にさらされました。同社は、Twitterでこの侵入を発表しています。

ソーシャルエンジニアリング攻撃の増加

このケースでは、ある個人が攻撃の犯行声明を出し、侵害したさまざまなリソースの画像を New York Times 誌に送りました。伝えられるところによると、Uber 社の Slack チャネルを利用して、同社のセキュリティ担当者にも送られたそうです。侵害されたシステムは、Google Workspace（旧 G Suite）、Amazon Web Services、Slack、VMware、Windows、OneLogin といったミッションクリティカルなツールだということです。重要なことですが、この脅威アクターは Uber 社の HackerOne というバグバウンティアプリケーションも襲撃しており、Uber 社のアプリケーションに潜む可能性のある未公開または未解決の脆弱性を持つアカウントすべてが提供されます。

Uber 社によると、ある請負業者の個人用デバイスがマルウェアに感染し、その請負業者のアカウントが攻撃者に侵害されていたとのことです。攻撃者は、その請負業者の Uber 企業パスワードをダークウェブ上で購入したものと思われます。従業員のエンドポイントが情報窃取型マルウェア（Redline など）に感染した後に、このような種類の認証情報が組織から盗まれるのはよくあることです。脅威アクターは、こうした認証情報を使用して社内ネットワークへのアクセスを手に入れます。

この事例では、犯行を名乗り出た個人が多要素認証（MFA）要求による猛攻撃（「プロンプト爆撃」という手口で知られている）で Uber 社のスタッフを攻め立て、それによってネットワークの残りの部分へのアクセスを手に入れたと主張しています。この脅威アクターは Uber 社の IT スタッフを名乗って従業員に接触し、MFA 要求を受け入れるよう促したということです。この攻撃スタイルの特徴は、ユーザーが大量の通知に悲鳴を上げて通知を停止しようとアクセスを許可するまで、プッシュ通知のスパムを被害者に何度も送り付けるというものです。

MFA の承認によって、Uber 社の VPN へのアクセスがハッカーに付与され、ハッカーは Uber 社のネットワークをスキャンできるようになりました。ここからハッカーは、Thycotic 社の特権アクセス管理（PAM）管理者アカウントのハードコードされた認証情報が含まれる PowerShell スクリプトを特定しました。その後、ハッカーはこのアカウントを使用することで、社内システム侵害のためのアクセスを入手しました。

Uber 社への攻撃も同様

このような共有の戦術、技法、手順（TTP）が、企業のシステムを破壊し続けます。情報を窃取する実際の方法は、前に報告された注目度の高い組織に対する攻撃といくつかの点で異なっています。しかし、その背後にある理論は同じです。マルウェアで収集する認証情報の窃取とソーシャルエンジニアリングを組み合わせて使用することで、脅威アクターは従業員が納得して機密のシステムおよび情報へのアクセスを提供するように仕向けることができます。

脅威アクターが緊急を装って従業員を騙し、認証情報を聞き出すという事例もありました。従業員は、パスワードの有効期限切れやスケジュールの変更に関して注意を喚起するテキストメッセージを受信します。この種のメッセージには、偽装されたログインページに移動する「ログイン」というリンクが貼られており、脅威アクターはこのページでログイン情報を収集します。攻撃者はこの情報を利用してネットワークへのアクセスを手に入れた後、持ち出し可能な貴重なデータがないかネットワークを探索します。

その他の種類のソーシャルエンジニアリング攻撃では、脅威アクターは高度なボイスフィッシング、つまり「ビッシング」攻撃を利用して、信頼できる組織（IT または技術部門のサポートスタッフなど）を装うことがあります。

VPN が許可する大量のアクセス

リモートアクセス用の暗号化ツールとして従来の仮想プライベートネットワーク（VPN）が未だに広く使用されていますが、この VPN には潜在的な盲点もあります。たとえば、VPN のソリューションはアカウントを侵入から保護できず、侵害された場合には大量のアクセスを許可してしまいます。また、VPN には悪用可能な脆弱性も多数あるため、今日の最新の脅威を前にして危険性が高まるネットワークリソースのドミノ効果が生じます。

VPN はネットワークへのリモートアクセスを提供する方法としてはだんだんと時代遅れになり、侵入しやすくなっています。多くの組織は VPN の限界を認識しており、VPN に代わる手段を探しています。特に、多くのセキュリティリーダーがゼロトラストネットワークアクセス（ZTNA）のアプローチを検討し始めています。ZTNA の主な利点は、マイクロセグメンテーションを使用して最小権限のアクセスを提供する点と、信頼できるものであることの証明を既知のユーザーアカウントとデバイスにさえも常に要求する点です。

ゼロトラストでソーシャルエンジニアリング攻撃からのダメージを緩和

基本的なレベルでは、ネットワークアクセスにゼロトラストのアプローチを実装することによって、管理者は個人のアクセスをネットワーク全体ではなく必要なリソースだけに限定できるため、潜在的な攻撃対象領域が縮小します。このきめ細かい権限制御によって、ソーシャルエンジニアリング攻撃および認証情報窃取攻撃の影響を緩和します。

ただし、ZTNA を利用したソーシャルエンジニアリング攻撃の撲滅は、VPN の代わりとなるもの以上のことを行います。このアプローチは、相互に関連するセキュリティ戦略に深く根付いています。この戦略の中心は、ZTNA ソリューションとエンドポイントセキュリティエージェントとの間に厳重なインターロックを確保することです。これを実現するには、単一の制御プレーンを介してアクセス管理とエンドポイントのセキュリティ制御を統合し、所定の数の監視対象デバイスを管理します。この手法では、同じテナントからのアクセス管理とエンドポイントセキュリティを活用することによって、融通の利かない手順をまとめてエンドポイント保護と ZTNA に発展させます。

これをさらに一歩進めて、非公開リソースにアクセスするときの強制的なユーザー再認証によって、情報の公開を管理するための継続認証の使用を保証します。また、脅威アクターが不正アクセスによって獲得した可能性のある「ランウェイ」の数を最小限に抑えます。

侵入検知システム（IDS）を使用した組み込みの脅威防御によって、これらの防衛を強化できます。これは、悪意のある活動と送信先のレピュテーション解析の特定に役立ちます。ネットワークディフェンダーは、既知の悪意のある送信先からのアクターがネットワークリソースにアクセスしようとしているかどうかを知る能力を獲得します。この能力は、攻撃者が盗んだ認証情報を使用して確認済みのユーザーに成りすましているときでさえも有効です。セキュリティチームは、発生したソーシャルエンジニアリング攻撃を押し戻し、阻止できます。

これらのゼロトラストの基本が連携してソーシャルエンジニアリングの脅威に対抗します。そのために、きめ細かいアクセス制御を実現し、ソーシャルエンジニアリング攻撃が組織にもたらす可能性のある負の結果を制限します。

UEBA の追加：相乗効果

これらの攻撃に共通するテーマは人的エラーです。したがって、UEBA（User and Entity Behavior Analytics）の使用は、ソーシャルエンジニアリングのこの側面を抑制するためのもう 1 つの武器となります。

UEBA は、通常のユーザーの振る舞いパターンを確認し、異常な振る舞いが発生したときに管理者に注意喚起する強力なツールです。多くの場合、この異常な振る舞いは、悪意のある活動（認証情報窃取またはソーシャルエンジニアリング攻撃を利用した脅威アクターの侵入など）の最初の徴候です。

UEBA と ZTNA の連携により、振る舞いの偏りがあると、ネットワークリソースに対する一時的なアクセス拒否が作動します。これにより、悪影響が生じるのは侵害されたアカウントに限定され、その後セキュリティで脅威アクターを排除できます。ZTNA と UEBA の間のインターロックを有効にすることで、管理者は異常な振る舞いを迅速に特定し、重要なリソースが侵害されないように処置を講じることができます。

これらのツールを共同で使用することで、通常と異なる無許可のデータ持ち出しの早期検知（および対応）の機会も得られます。多くの場合、この活動はネットワーク詐欺師、またはエンドポイントに対するランサムウェア攻撃の徴候です。目標は、侵害がネットワークの残りの部分に悪影響を及ぼす前に、迅速に検知・対応することです。

お問い合わせ先

ソーシャルエンジニアリング攻撃などの増大する脅威ベクトルに対抗する ZTNA の機能や、Cylance® AI とともに BlackBerry® のソリューションのご利用をお考えの場合は、こちらをクリックしてください。

現在進行中のインシデントおよび Uber 社が共有しているインシデント対応の詳細については、こちらをクリックしてください。

お問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
BlackBerry Japan：https://www.blackberry.com/ja/jp
Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
Twitter（日本語）: https://twitter.com/BlackBerryJPsec
LinkedIn: https://www.linkedin.com/company/blackberry/
YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos

About Noah Campbell

Noah Campbellは、BlackBerryのテクニカル・マーケティング・スペシャリストです。

戻る