悪意のある攻撃のライフサイクル

脅威アクターはあらゆるチャンスをうかがいながら、組織やその保護対象であるユーザーに対して攻撃を仕掛けます。とくに、ユーザーの警戒心が薄れ、セキュリティ オペレーション センター(SOC)部門が不在となる長期休暇期間中に攻撃の頻度が増加する傾向にあります。大きな被害をもたらすような攻撃は大々的に報道されるものの、セキュリティ部門やIT部門が防御策を強化する上で役立つ、実際の攻撃内容などの詳細が報じられることはほとんどありません。

より優れた対策を講じるためにデータを活用する

世界最大のセキュリティ クラウドを活用するZscalerのThreatLabzリサーチ部門は、シグナルとして分類されたデータ ストリームを継続的に受信、分析して大規模なSecOpsコミュニティーと共有します。AIやML分析などの高度な技術を駆使することで、ThreatLabzは1日あたり2,500億を超える脅威指標を特定してブロックします。ブロックされる脅威の大半は既知のものですが、未知の脅威を特定した場合、ThreatLabz(およびZscalerのお客様)は、Zscaler Cloud SandboxのAI活用型検疫を駆使してユーザーへの配信を阻止します。デバイス上で実行される攻撃シーケンスは独立した仮想環境で展開され、不正な行動を特定するため、あらゆる場所のユーザーを保護できます。

一方で、サイバー攻撃は似たようなパターンが多く、MITRE ATT&CKマトリックスとブラックハットの考え方を取り入れることで、攻撃者の次の動きを予測して各段階の防御策を強化できます。分かりやすく説明するために、A2Z Health Servicesのシニア セキュリティ アナリストであるAlexが、患者記録システムから異常な活動のアラートを受け取った場合を例に考えてみましょう。まず、最初のトリアージを実施した後、A2Zは攻撃被害の真っ只中にあることを認識しましたが、さらなる被害を食い止める時間はまだ残されていました。攻撃のライフサイクルを見て、攻撃開始を防ぐためにA2Zのセキュリティ ツールをどこに適用させるべきか、そして防御策のどこに弱点がありえたのかについて見てみましょう。

攻撃のライフサイクルをより詳しく知る

1. 偵察

高度なスキルを持った攻撃者はまず偵察し、それを踏まえて攻撃内容を吟味して、貴重な情報を収集しつつ攻撃計画を作成します。サイバーセキュリティの適切なトレーニングの実施は、従業員の警戒意識を維持する上で有益です。

「偵察に費やされた時間が無駄になることはない」とはまさにその通りです。Frying Panと呼ばれる攻撃グループは、A2Z Health Servicesで情報記録と財務を担当するJimをターゲットに定め、ソーシャル エンジニアリングを活用することで、被害者の個人メールアドレスなどのID情報を入手しました。

2. 初期アクセス

攻撃者が侵入経路を特定すると、次にネットワークへの最初のアクセスを試みます。有効なアカウントを利用する一般的な手口は、2要素認証や定期的なパスワード変更で阻止できます。ここで問題となったのは、Jimの会社のメール セキュリティ ツールでスピアフィッシング キャンペーンを検出できなかったことです。こうした事態を再発させないために、AlexのチームはZscaler Cloud SandboxのAI活用型検疫機能を使用して、疑わしいファイルを分析しブロックすることができます。暗号化されたプロトコルであるHTTPS、そしてGoogle DriveやMicrosoft OneDriveなどの信頼できるベンダーやプログラムからマルウェアが配信された場合であっても同様です。ベンダーとの信頼関係を偽装した攻撃により、Jimは滞納中として送られてきた「請求書」へのリンクをクリックし、悪意のあるマクロを含むExcelファイルをダウンロードすることになりました。その際、エンドポイントでの検知と対応(EDR)やウイルス スキャンは、既知のシグネチャーや動作を認識しませんでした。

3. 実行

攻撃者は最初のドアを突破し、目的に合わせた複数の攻撃を同時に実行する段階に入りました。Frying Panの場合、マクロが悪意のあるダイナミック リンク ライブラリー(DLL)のインストールを促し、Jimのローカルシステム上でマルウェアを実行させることを目的としていました。本来、有効化されたEDRやセキュリティ情報イベント管理(SIEM)が進行中の侵害を特定した上で、担当部門に警告する必要がありました。高度なクラウド サンドボックスを使用するZscaler Internet Access (ZIA)であれば、インラインのコンテンツ検査機能が未知の潜在的な脅威を特定し、コンテンツを分析して悪意のある接続を切断します。

4. 資格情報へのアクセスと特権の昇格

攻撃者が継続的なアクセスを維持しながら検出を回避するには、アカウント名とパスワードが必要になります。Alexとセキュリティ部門は、Frying Panがパスワード ストアや総当たり攻撃によってユーザー資格情報を取得し、最終的にドメイン コントローラーへのアクセス権を持つより特権的なユーザーに誘導したことを突き止めました。Frying Panは、セキュリティ認証リクエストを仲介し応答する構成を変更した後、A2Zのネットワークとシステムを通過する経路を消去しました。残念ながら、攻撃者がA2Zのアクセス管理やVPNソリューションを回避したほか、感染拡大を阻止するためのユーザーからアプリ、ワークロードからワークロードへのセグメンテーションやおとりは用意されていませんでした。

5. 水平移動

ほぼ自由にアクセスできるようになったことで、攻撃者は複数のアプリケーション、システム、そしてアカウントを自在に操り、攻撃を完遂できるようになりました。Frying Panは、独自のリモート アクセス ツールをインストールするのではなく正当な資格情報を使用して水平移動を行っていたため、検知されることはありませんでした。次世代ファイアウォール(NGFW)またはネットワーク セグメンテーションに依存している組織の多くに、このような事態はごく一般的に起こりえます。

水平移動の阻止に、ゼロトラスト アーキテクチャーは不可欠です。「絶対に信頼せず、常に検証する」ポリシーにより、Zscaler Private Access (ZPA)は認証されたユーザーとデバイスのみを承認済みアプリに接続します。ユーザーをネットワーク上に配置しないため、アプリはインターネットに公開されず、権限のないユーザーからは完全に不可視化されます。

6. 収集と流出

偵察段階と同様に、攻撃者は重要な情報を検索して収集しますが、ここで収集したデータは、恐喝などの目的で使用されます。情報漏洩防止(DLP)を備えたクラウド アクセス セキュリティ ブローカー(CASB)は、過剰な共有を防止してデータの流出を阻止します。

Alexが、勤務時間外のアクセスや移動時間を考えると不可能な場所からのアクセスなどを含む、患者記録システムに関する疑わしいネットワーク活動に最初に気付いたのは収集段階でした。さらに少し掘り下げてみると、流出自体はまだ始まっていないことが分かりました。攻撃者の一部はここで活動を停止して、より多くのデータや知的財産を盗取するためのバックドアを開いたままにしておこうとします。しかし、Alexとセキュリティ部門はランサムウェア攻撃を予測したため、患者データ システムをネットワークから切断し、影響を受けたユーザーからのアクセスを無効化しました。

不運にもランサムウェア攻撃に見舞われた犠牲者には、データ流出後に次のステップが待っています。

7. ランサムウェアをインストールして身代金の支払いを要求

一般的なサイバー犯罪組織は独自にランサムウェア株を作成するのではなく、サービスとしてランサムウェアを作成するLockBitやContiなどと協力しているため、身代金の一部は作成者側にも支払われることになります。これはつまり、犯罪者は被害者の物色に、作成者は「製品」の開発に、それぞれ集中できることを意味します。

これはセキュリティ部門にとって頭の痛い問題です。企業のデジタルフットプリントが拡大する今、Zero Trust Exchangeの一部であるZscaler Cloud Sandboxでゼロ号患者の保護とインラインでの脅威保護を実施し、脅威アクターが初期アクセスを得て水平移動を実行に移すことを阻止することが重要です。Zero Trust Exchangeプラットフォームが攻撃のライフサイクル全体に包括的な保護を提供する方法の詳細については、こちらをご覧ください。