国家レベルのサイバー攻撃から身を守るために取るべき重要な手法について

ジョン ランバート (John Lambert)
マイクロソフト脅威インテリジェンスセンター 特別エンジニア

※ 本ブログは、米国時間 12 月 13 日に公開された “Important steps for customers to protect themselves from recent nation-state cyberattacks” の抄訳です。

マイクロソフトは本日、政府機関やサイバーセキュリティ企業など、重要度の高い組織を標的として脅威を及ぼす高度な活動が増加している件について、情報共有をするとともに指針を発表します。マイクロソフトでは、この脅威が政府機関と民間企業の双方を狙った大規模な、国家レベルの活動だと考えています。各組織特有の詳細についてはお伝えできませんが、過去数週間で発見した脅威活動の一部を公表し、セキュリティ業界の担当者が潜在的な悪意のある活動を発見し、抑制する際に活用できる指針を示す必要があると判断しました。

今回の調査にあたり、マイクロソフトの製品やクラウドサービスにおける脆弱性は確認されていないため、その点はご安心いただければと思います。

マイクロソフトでは、継続的な脅威調査の一環として、攻撃者の活動を示すような新しいインディケーターがないか監視しています。先日公開した 2020 Digital Defense Report にあるように、マイクロソフトは過去 2 年間で国家による攻撃を受けたお客様に 1 万 3000 件以上の通知を配信しており、攻撃の巧妙さと運用セキュリティ能力が急速に高まっている状況を確認しています。FireEye が最近公開した情報も、マイクロソフトが確認した攻撃と一致しています。この業界では、インターネットを保護するにあたって情報共有が非常に重要となるため、FireEye が情報を開示し共有してくれたことはすばらしいと思います。

攻撃者のテクニックや運用セキュリティ能力が巧妙化していることから、より多くのコミュニティでの綿密な調査を呼びかけたいと思います。ここで示す要素がすべての攻撃に当てはまるわけではありませんが、こうしたテクニックが攻撃者の手法の一部として見られます。

  • SolarWinds Orion 製品にて,悪意あるコードを経由した侵入。これが攻撃者にとって、ネットワークへの足がかりとなり、攻撃者はこれを利用して高度な認証情報を入手できるようになります。Microsoft Defender では現在これらのファイルを検出できるようになっています。SolarWinds のセキュリティアドバイザリもご確認ください。
  • 侵入者がオンプレミスのセキュリティ侵害によって取得した管理者権限を利用し、組織の信頼された SAML トークン署名証明書にアクセス。これにより、侵入者は組織の既存ユーザーやアカウントになりすました SAML トークンを偽造できるようになります。もちろん、高度な権限を持つアカウントになりすますことも可能です。
  • 不正アクセスによるトークン署名証明書で作成された SAML トークンを利用した異常なログイン。この証明書は (アイデンティティシステムやベンダーに関わらず)、すべてのオンプレミスのリソース (ベンダーに関わらず)、およびすべてのクラウド環境で利用できます。これは、オンプレミスもクラウドも、証明書を信頼するような構成になっているためです。SAML トークンは独自の信頼された証明書で署名されているため、組織も異常を見逃す可能性があります。
  • 攻撃者は上記の手法やその他の方法で取得した高度な権限を持つアカウントを利用し、既存のアプリケーションサービス担当者として自分の認証情報を追加、そのアプリケーションに割り当てられた権限で API を呼び出すこともできるようになります。

具体的な詳細と指針については、こちらのブログ (Customer Guidance on Recent Nation-State Cyber Attacks) をご覧ください。

マイクロソフトでは、今回発表したように重大な脅威活動を共有することが大切だと考えています。政府や民間企業が、国家レベルの活動をより明確に把握することが重要で、これによってインターネットの保護に関するグローバルな対話が継続できるのです。また、今回この情報を公開したことで、組織や個人が身を守る手法について認識を高めていただければ幸いです。

マイクロソフトでは、お客様にもお願いしているとおり、マイクロソフト環境における攻撃のインディケーターも積極的に捜索しています。ただしこれまでのところ、攻撃が成功した痕跡は見つかっていません。

マイクロソフトがサイバーセキュリティにかけているすべてのリソースを持ってしても、このような課題に対処するにあたって必要なリソースのほんの一部にしかなりません。真の変化をもたらすには、政策立案者、経済界、政府機関、そして最終的には個人の協力が不可欠で、情報共有やパートナーシップによってのみ大きな影響を与えることができるのです。今回、マイクロソフトがここで情報共有を行ったことにより、全体の協力体制が改善し、デジタルエコシステムのセキュリティ向上につながれば幸いです。

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

Tags: ,

関連記事