「正規アカウント」と「VPNの脆弱性」を悪用した攻撃が多発

弊社では毎月、最新のサイバー脅威の状況について社内のアナリストが分析を行った結果レポートをお客様に提供しています。ここでは、2023年6月から7月上旬にかけて見られたサイバー脅威の状況に関するレポートの内容の一端をご紹介します。

この時期にサイバー攻撃の被害を受けた企業が公開した情報を調べてみると、「正規ユーザーになりすましてシステムに侵入」「VPN機器の管理アカウントのパスワードが推測可能」「VPN装置のソフトウェアの脆弱性を悪用」といった「正規アカウント」と「VPNの脆弱性」に関連する内容が多く見られました。

こうした傾向は国内では以前から見られており、警察庁が2023年3月に公開した「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によれば、ランサムウェアの被害を受けた企業にアンケート調査を実施したところ、感染経路の62%が「VPN機器からの侵入」で占められていたそうです。2番目に多かった「リモートデスクトップからの侵入」(19%)を加えると、実に全体の8割以上をリモートからの感染経路が占めています。

本社の管理の目が行き届かないVPN機器の脆弱性を狙った攻撃

なお海外の多くの国では、フィッシングメールを介したマルウェアの感染が多いです。ただしそうしたフィッシングメールの大半は英語で記述されており、日本では引っ掛かるユーザーが少ないため、国内では相対的にその他の感染経路の割合が高くなっていると考えられます。

一方、正規アカウントの管理やVPN機器の脆弱性に関して、多くの日本企業が課題を抱えていることも事実です。ここ数年でVPN機器の脆弱性を狙った攻撃が多発したことを受け、多くの企業がその管理に気を配るようになりましたが、本社の総務部門や情報システム部門の目が届かない海外拠点や工場などが独自の判断でVPN機器を導入し、機器の更新が行われなかったり、管理者アカウントの設定が初期状態のまま運用されていたりするような状況はいまだに散見されます。

弊社が観測したサイバー攻撃の事例や、お客様のインシデント対応を支援してきた経験を踏まえても、退職者のアカウントやテスト用アカウントを削除し忘れていたために攻撃者に悪用されたり、アカウントのパスワードが推測しやすいものだったためにやはり悪用されてなりすまし攻撃を受けたりといったような例が多く見られます。

攻撃者は、よく使われるアカウント名やパスワードのリストを使用、外部で漏えいした情報を悪用、一文字ずつ変更しながら全てのパターンを入力などの方法を行うことで、企業が保有しているアカウントを特定しパスワードを突破するのです。

正規アカウントを悪用されると検知や追跡が困難に

退職者のアカウントやテスト用のアカウントは、システム上は「正規のアカウント」として扱われますから、これを悪用されるといわゆる「入口対策」は容易くすり抜けられてしまいます。

そして一度社内ネットワークへの侵入を許してしまうと、認証やアクセス制御といった仕組みを通じて不正利用を見抜くことも困難になります。さらには、多くの企業では内部の端末間の通信を厳密に監視していないため、一度正規アカウントで侵入を許してしまうと端末から端末への感染の「水平展開」も容易に許してしまいます。

加えて多くの企業では、正規アカウントによるログインや脆弱性を悪用した侵入といったイベントは、ログの記録の対象外になっていることがほとんどです。そのためどうしても侵入の発見が遅れてしまいますし、発見できたとしてもその痕跡がログに残っていないため、侵入経路やその影響範囲の把握にも時間がかかってしまいます。

特に中小企業や海外拠点などで導入される機器は、導入コストを節約するために搭載ディスク容量も最小限に抑えられていることが多く、よってログの取得範囲も絞り込まれていることがほとんどです。こうした事情も正規アカウントを悪用した攻撃の検知や追跡を困難にする要因の1つになっています。

アカウント管理や脆弱性管理の体制・プロセスをあらためて見直す

こうした攻撃から自社の貴重な情報資産を守るためには、まずは自社のアカウント管理や脆弱性管理に抜け・漏れがないかどうか、現状を洗い出して可視化する必要があります。

退職者や業務委託用のアカウントなどが不要になったら、確実に削除できているか、開発用アカウントやテスト用アカウントに推測されやすい単純なパスワードが付与されていないか、こうした基本的なアカウント管理の体制やプロセスがきちんと機能しているかどうかあらためて精査する必要があるでしょう。

VPNをはじめとする機器の脆弱性に関しても、管理者アカウントが初期設定のまま使われていないか、既知の脆弱性への対処がきちんと行われているかどうかをしっかり管理する必要があります。場合によっては、拠点や工場などが情報システム部門を経ずに独自に機器を導入し、脆弱性が残ったまま運用している可能性もあります。従ってこれを機に、IT機器やソフトウェアの資産管理を徹底することをお勧めします。

また抜け・漏れのない対策のためには、弊社が提供する「CSPA(サイバーセキュリティプログラム評価)サービス」のような第三者のアセスメントサービスを利用して、まずは現状をくまなく可視化することを検討してみるのも有効です。

さらにこうした対策は一度行えば終わりではなく、継続的に実施していくことが極めて重要です。IT機器は常に新たなものが導入され、古いものが廃棄されていきますし、アカウントも社員の入退社に伴い常に状態が変化します。従ってそうした変化に素早く追随して、適切な設定変更をタイムリーに実施するための体制やプロセスを構築しておくことが大事です。

加えて、万が一侵入を許したとしても、情報流出という最悪の事態に至る前にしっかり対処できる手立てを講じておく必要もあります。そのためにはやはりEDR(Endpoint Detection and Response)に代表される最新の技術を活用して、情報窃取に至る前に侵入を検知していち早く対処できる仕組み・体制を作っておくことが肝要です。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPP、EDR、MDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド