削除を忘れた元従業員のアカウントから政府への不正侵害確認、注意を
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2024年2月15日(米国時間)、「CISA and MS-ISAC Release Advisory on Compromised Account Used to Access State Government Organization|CISA」において、サイバー攻撃者が企業の元従業員のアカウントを悪用して州政府機関に不正アクセスしたと報じた。
これを受けて、CISAと米多州間情報共有・分析センター(MS-ISAC: Multi-State Information Sharing & Analysis Center)はサイバーセキュリティアドバイザリー(CSA: Cybersecurity Advisory)として「Threat Actor Leverages Compromised Account of Former Employee to Access State Government Organization | CISA」を発表した。
CISA and MS-ISAC Release Advisory on Compromised Account Used to Access State Government Organization|CISA
○政府機関への不正アクセスの詳細
CISAおよびMS-ISACはこのインシデントについて分析し、その概要をサイバーセキュリティアドバイザリーの中で公開している。アドバイザリーの分析結果によると、正体不明のサイバー攻撃者は元従業員のアカウントを介してネットワーク管理者の資格情報を侵害。内部の仮想プライベートネットワーク(VPN: Virtual Private Network)アクセスポイントの認証に成功し、標的組織のオンプレミス環境を横移動するためにドメインコントローラーに対してさまざまなライトウェイト・ディレクトリー・アクセスプロトコル(LDAP: Lightweight Directory Access Protocol)クエリを実行したという。
また、分析では標的組織が運用している機密性の高いシステムおよびデータをホストするMicrosoft Azure環境にも焦点を当てて調査している。調査の結果、サイバー攻撃者がオンプレミス環境からAzure環境に横移動して侵害した兆候は確認されていない。
標的組織はダークWeb上の通知を受けて直ちに元従業員のアカウントを停止。元従業員に関連した2つの仮想化サーバーをオフラインにしている。また、侵害されたネットワーク管理者アカウントのパスワードを変更し、管理者権限を停止している。いずれのユーザーアカウントも多要素認証(MFA: Multi-Factor Authentication)を有効にしていなかった。
○対策および緩和策
CISAおよびMS-ISACは同様の攻撃からシステムを保護するために、組織のシステム管理者に対して次のような対策を速やかに実施することを推奨している。
不要になったアカウントとグループ、特に特権アカウントを組織から継続的に削除する
強力なパスワードと多要素認証の有効化を強制する
資格情報マネージャー、保管庫(Vault)、またはその他の特権アカウントソリューションなどを使用して資格情報を安全な方法で保存する
また、侵害を防止するために次の緩和策の実施も推奨している。
現在の管理者アカウントを確認し、それらが本当に必要か検討する。可能であればネットワーク管理に不可欠な管理者アカウントのみを維持する
1人のユーザーに対して複数の管理者アカウントの使用を制限する
オンプレミス環境とAzure(クラウド)環境の管理者アカウントを別に作成し、アクセスをセグメント化する
最小権限の原則を実践する
リモートアクセスおよび機密情報のアクセスにはフィッシング耐性のある多要素認証を使用する
不要なアカウントとグループ、特に特権アカウントを削除するためのポリシーと手順を確立する
(システムおよび通信に関係する)組織の資産と、古いソフトウェアを認識できるようにバージョン情報の一覧化と追跡を実施する。また、堅牢な資産管理ポリシーを確立し、維持する
すべてのソフトウェア(サードパーティーソフトウェアを含む)を定期的に更新する
個人用デバイスから社内ネットワークへの接続を制限する
さらに、CISAおよびMS-ISACはクラウド環境の設定見直し、セキュリティ構成の評価、すべてのパスワードの再設定と強化、セキュアバイ・デザインの原則の導入などを求めている。これら詳細はすべてサイバーセキュリティアドバイザリーにて解説されており、内容を確認して組織のセキュリティ向上に役立てることが望まれている。
CISA and MS-ISAC Release Advisory on Compromised Account Used to Access State Government Organization|CISA
○政府機関への不正アクセスの詳細
CISAおよびMS-ISACはこのインシデントについて分析し、その概要をサイバーセキュリティアドバイザリーの中で公開している。アドバイザリーの分析結果によると、正体不明のサイバー攻撃者は元従業員のアカウントを介してネットワーク管理者の資格情報を侵害。内部の仮想プライベートネットワーク(VPN: Virtual Private Network)アクセスポイントの認証に成功し、標的組織のオンプレミス環境を横移動するためにドメインコントローラーに対してさまざまなライトウェイト・ディレクトリー・アクセスプロトコル(LDAP: Lightweight Directory Access Protocol)クエリを実行したという。
また、分析では標的組織が運用している機密性の高いシステムおよびデータをホストするMicrosoft Azure環境にも焦点を当てて調査している。調査の結果、サイバー攻撃者がオンプレミス環境からAzure環境に横移動して侵害した兆候は確認されていない。
標的組織はダークWeb上の通知を受けて直ちに元従業員のアカウントを停止。元従業員に関連した2つの仮想化サーバーをオフラインにしている。また、侵害されたネットワーク管理者アカウントのパスワードを変更し、管理者権限を停止している。いずれのユーザーアカウントも多要素認証(MFA: Multi-Factor Authentication)を有効にしていなかった。
○対策および緩和策
CISAおよびMS-ISACは同様の攻撃からシステムを保護するために、組織のシステム管理者に対して次のような対策を速やかに実施することを推奨している。
不要になったアカウントとグループ、特に特権アカウントを組織から継続的に削除する
強力なパスワードと多要素認証の有効化を強制する
資格情報マネージャー、保管庫(Vault)、またはその他の特権アカウントソリューションなどを使用して資格情報を安全な方法で保存する
また、侵害を防止するために次の緩和策の実施も推奨している。
現在の管理者アカウントを確認し、それらが本当に必要か検討する。可能であればネットワーク管理に不可欠な管理者アカウントのみを維持する
1人のユーザーに対して複数の管理者アカウントの使用を制限する
オンプレミス環境とAzure(クラウド)環境の管理者アカウントを別に作成し、アクセスをセグメント化する
最小権限の原則を実践する
リモートアクセスおよび機密情報のアクセスにはフィッシング耐性のある多要素認証を使用する
不要なアカウントとグループ、特に特権アカウントを削除するためのポリシーと手順を確立する
(システムおよび通信に関係する)組織の資産と、古いソフトウェアを認識できるようにバージョン情報の一覧化と追跡を実施する。また、堅牢な資産管理ポリシーを確立し、維持する
すべてのソフトウェア(サードパーティーソフトウェアを含む)を定期的に更新する
個人用デバイスから社内ネットワークへの接続を制限する
さらに、CISAおよびMS-ISACはクラウド環境の設定見直し、セキュリティ構成の評価、すべてのパスワードの再設定と強化、セキュアバイ・デザインの原則の導入などを求めている。これら詳細はすべてサイバーセキュリティアドバイザリーにて解説されており、内容を確認して組織のセキュリティ向上に役立てることが望まれている。