レッドチームによる検証事例からCISAが推奨する3つのアクション

今回は「レッドチームによる検証事例からCISAが推奨する3つのアクション」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間2月28日、同庁のレッドチームによるサイバーセキュリティ評価事例の詳細を明らかにした。同チームは、重要なインフラを担っている、ある大規模組織のネットワークのアクセス権を入手できたという事実とともに、そこでの教訓が他の組織のネットワークセキュリティ強化にいかに役立つのかについて説明した。

 レッドチームが「重要なインフラを担っている、ある大規模組織」(名前は明かされていない)のネットワークへの侵入を試みたのは、同組織がそのサイバーセキュリティの現状をテストするようCISAに依頼したためだ。

 レッドチームとは、悪意を持ったサイバー攻撃者のように考えることを仕事とする、サイバーセキュリティ専門家のグループだ。レッドチームは、ネットワークの防御状況を探り、攻撃的なハッキング手法を用いることで防御側、すなわちブルーチームがどのように対応したかを評価した上で、攻撃を依頼したクライアントが自らのサイバーセキュリティを強化できるよう、その経過をレポートとしてまとめ上げる役割を担う。

 CISAが今回の攻撃を分析したところによると、レッドチームは標的である組織のネットワークを守る人たちやプロセス、テクノロジーが何らかの対応をとれるような機会を13の場面で用意していたという。

 しかし、こういった潜在的な悪意を垣間見せる行為の多くは検知されることがなかった。

 「CISAのレッドチームは、標的のネットワークに対する永続的なアクセスに成功し、地理的に離れた複数のサイトに水平移動した上で、機密情報が保持された当該組織の業務システムに隣接するシステム(SBS)にアクセスすることができた」(CISA)

 レッドチームのこの攻撃は、多くのサイバー攻撃と同様、特定の標的に向けた電子メールを、同組織の複数拠点の従業員ら宛に送信するというフィッシング攻撃から開始された。

 レッドチームは、オープンソースのリサーチを用いてスピアフィッシング攻撃のための潜在的な標的とその電子メールアドレスを見つけ出した後、商用の電子メールプラットフォーム上にアカウントを設定し、カスタマイズしたスピアフィッシング電子メールを7人の潜在的標的に送信することで攻撃を完遂した。

 しかしこういったフィッシング電子メールは、悪意あるリンクを唐突に送付するところから始まったわけではない。CISAのレッドチームは、オンライン会議の招待状を送付する前に、標的と何度か電子メールをやり取りし、信頼関係を築くようにしていた。

 この招待状により、被害者はレッドチームの管理下に置かれているドメインに誘導され、レッドチームの攻撃部隊にアクセス権を提供する悪意あるペイロードが実行されるようになっていた。このフィッシング攻撃では2人の被害者がだまされ、レッドチームは2つの拠点でワークステーションへのアクセスを獲得した。

 レッドチームは、このアクセスを利用して「SharePoint」に保管されていたファイルを調べ、どのユーザーが管理者アクセス権を持っているかを特定した。レッドチームがこの情報を使って、これらの管理者権限を持つユーザーに対して2回目のフィッシング攻撃を行うと、そのうち1人がだまされ、使用しているワークステーションへのアクセスと、管理者権限をレッドチームに渡してしまった。

 レッドチームは、このアクセス権を使用してネットワーク内を移動し、ユーザー名やパスワードを集め、ネットワーク上で持続的に活動できる能力を獲得し、管理者権限でサーバーを含む他のワークステーションに侵入した。

 これによって「組織のネットワークやサブネットワークの全域にわたって確立された持続的で深度が深いアクセス」が可能になり、レッドチームは、職員が使用するパスワードマネージャーに対するアクセスや、データベース中の平文の認証情報の収集、バックアップサーバーへのアクセス、「機密情報が保持された当該組織の業務システムに隣接するシステム(SBS)」へのアクセスまで獲得できたと述べている。

 CISAによれば、今回のレッドチームによるテストでは、セキュリティ上の弱点がいくつか露呈した一方で、いくつかの前向きな点も見つかったという。これには、この組織が定期的に積極的なペネトレーションテストや敵対的な評価を実施しており、その結果に基づいてネットワークのハードニングに投資していることも含まれる。

 ほかにも、同組織には外部からアクセス可能なIPアドレスが300万以上もあったにもかかわらず、レッドチームは簡単に悪用できるサービスやポート、ウェブインターフェースが見つけることができず、攻撃手段をフィッシングメールに頼らなければならなかった。また、パスワードは強固で、レッドチームが総当たり攻撃でパスワードを破ることはできなかった。

 さらに、重要な業務システムには多要素認証が導入されていたため、盗んだ認証情報を使ってそれらのシステムにアクセスすることはできなかったという。

 CISAは、この組織に対してサイバーセキュリティの改善に関する提言を行っているが、これらの提言は、ネットワークの守りを強化したいと考えているほかの人々にとっても有益なものだ。

 特に次の提言には耳を傾けるべきだろう。

元記事: https://japan.zdnet.com/article/35201187/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
パリ醸造所を運営し日本酒D2Cブランドを世界展開するWAKAZEが3.3億円調達、ヨーロッパ全土展開と米国進出狙う
フードテック
2021-06-10 18:00
「ゴルゴ13」ギネス世界記録に 「最も発行巻数が多い単一漫画シリーズ」として
くらテク
2021-07-10 05:50
質問に答えてくれる言語モデル「ChatGPT」–プレビューは無料公開
IT関連
2022-12-03 09:41
FBI長官、ランサムウェアの脅威と911テロがもたらす課題に「類似点」
IT関連
2021-06-07 12:01
米ライドシェアリングLyft、アクティブ乗客数の減少を隠すほど売上は成長
IT関連
2022-02-10 05:35
[速報]AWS、必要なときに1分以内にキャッシュが提供され自動的にスケールする「Amazon ElastiCache Serverless」正式サービス化を発表。AWS re:Invent 2023
AWS
2023-11-29 09:49
「Angular 12」正式リリース。Webpack 5正式サポート、IE11のサポートが非推奨、Strictモードがデフォルトに、「Ivy」レンダリングエンジンへの移行が事実上完了など
Angular
2021-05-14 12:03
増える仮想通貨への投資–慎重な姿勢の金融機関と規制当局
IT関連
2022-02-25 15:58
Equinix、AWS、VMwareと連携–日本ヒューレット・パッカード、GreenLakeの最新情報を紹介
IT関連
2023-08-06 08:17
NTTの災害対策ソリューションはグループの総力を結集せよ
IT関連
2023-06-30 12:40
【コラム】10代によるテスラ車のハックを教訓にするべきだ
IT関連
2022-01-29 17:57
重いウェブサイトで訪問者離反と機会損失–Contentsquare報告書
IT関連
2023-02-23 11:18
日本のセキュリティ人材はアジア最多規模、課題は地位向上–(ISC)2に聞く現状
IT関連
2022-07-23 20:07
米通信大手T-Mobile、約7660万人の情報流出めぐる集団訴訟で和解へ
IT関連
2022-07-26 21:45