データの漏えいからボットを使った端末の乗っ取りまで:漏えいした資格情報 vs. 不正アクセスされたアカウント情報
Published 1月 30, 2024.
もし誰かが私たちに、「漏えいした資格情報」と「不正アクセスされたアカウント」の違いを尋ねるたびに1セントをもらえたとしたら、近いうちに袋入りのオレオを買って同僚たちにご馳走できる日が来たことでしょう。
なぜ、「漏えいした資格情報」と「不正アクセスされたアカウント」の違いが重要となるのでしょうか?米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)によると、サイバー攻撃の54%で有効なアカウントが悪用されていたということです。つまり、「漏えいした資格情報」と「不正アクセスされたアカウント」がもたらすリスクを理解することこそが、サイバー攻撃を防ぐうえで重要になるのです。
今回のブログでは、「漏えいした資格情報」と「不正アクセスされたアカウント情報」を取りあげ、脅威アクターがそれらの情報をどのように入手しているのかを解説します。また、セキュリティ上の弱点についても取りあげ、皆様が自組織を防御するにあたって取るべき対応を提言します。
「漏えいした資格情報」とは?
「漏えいした資格情報」とは、サイバー犯罪者に窃取されたり、不正アクセスされたユーザー名やパスワードを指す用語です。資格情報の漏えいは、サードパーティにあたる組織で侵害インシデントやデータベースに対する不正アクセスが発生し、(そのサードパーティの)利用者のデータが漏えいすることで発生します。このようにして漏えいした資格情報は、サイバー犯罪者が集うマーケットで頻繁に売買されており、攻撃者がなりすましを行う際に悪用されたり、組織に不正アクセスする際の足掛かりとして利用されることがあります。漏えいした資格情報に含まれている情報は多岐にわたり、PII(個人識別情報)なども含まれている場合があります。ただし当然のことながら、あるサードパーティを発端として資格情報が漏えいした場合、そのインシデントで漏えいした資格情報はすべて同じ組織のものであり、漏えいしたデータの種類も限定されています。またサードパーティで発生したインシデントで窃取された資格情報は、大抵の場合パスワードが平文ではないため、窃取後に攻撃者が悪用することが困難になります。
KELAのメリット:広範な領域を網羅したKELAのデータレイクには、数十億件もの電子メールやパスワード、メタデータなどが保存されています。お客様には、自組織のドメインをもとにKELAのデータベースを検索していただけます。
「不正アクセスされたアカウント情報」とは?
「不正アクセスされたアカウント」とは、サードパーティではなく当事者が漏えい元となったアカウント情報を指します。具体例としては、データを収集する情報窃取マルウェアに感染した端末から窃取された資格情報などが挙げられます。個人が使用するPCなどの端末そのものが標的にされるため、たった1台の端末が情報窃取マルウェアに感染した結果、その端末の所有者が数百ものウェブサイトで使用している資格情報が流出することになります。組織で発生するデータ侵害とは異なり、情報窃取マルウェアが端末に感染した場合は、実に様々な種類のデータ(セッションクッキーやウェブブラウザの自動入力情報、その他)を窃取され、悪用される可能性があります。その他に「漏えいした資格情報」と大きく異なる点としては、情報窃取マルウェアは平文の資格情報を窃取するため、サードパーティに対する攻撃で入手した資格情報よりも、はるかに使い勝手が良いことが挙げられます。
KELAのメリット:
KELAは、様々なボットネットマーケットの情報窃取マルウェアからデータを収集し、独自のプラットフォームを通じてお客様にご利用いただいています。その他、ログのクラウドをはじめとする様々なソースから収集した資格情報もご提供しています。また、マーケットで新たな「商品」が売り出された場合はアラートを送信し、資格情報が外部に公開される前にテイクダウンできるようサポートしています。
ボットを理解する:ボットネットマーケット vs. ボットのダンプ&ログのクラウド
一般社会のマーケットと同様に、ボットネットマーケットも、魅力のある商品を競争力のある価格で販売しています。ただしボットネットマーケットが扱っている商品は、イチゴや宝石、iPhoneカバーなどではなく、ユーザー名やパスワードです。脅威アクターによっては、ボットネットマーケットで資格情報さえ購入すれば、攻撃の準備が完了する者もいるでしょう。ボットネットを扱っているマーケットとしては「Russian Market」や「2easy」があり、2020年以降これまでに両マーケットで販売されたログは188万件を超えています。
ボットネットマーケットでは、膨大な量の漏えいした資格情報や不正アクセスされたアカウントが売り出されており、脅威アクターはそれらの商品を1点ずつ購入することができます。しかしサイバー犯罪者も、サブスクリプションの魅力には抵抗できなかったものと思われ、彼らの間では週または月ベースで「ログのクラウド」を入手できるサブスクリプションサービスの利用が普及しつつあります。この「ログのクラウド」では、サービス提供者となるサイバー犯罪者が、様々な情報窃取マルウェアを使って収集したアカウント情報や「ボットのダンプ」を日々顧客に配信しています。また大抵の場合、それらデータの配信にはTelegramが使用されています。
ボットネットマーケットの場合、購入者となる脅威アクターは、必死に稼いだ金銭を支払う前に、まず被害者の地理やOSの種類、ドメインなど具体的な条件に基づいて商品(ログ)を探すことができる仕組みになっています。一方、ログのクラウドの場合は、希望の条件に基づいて商品を購入することはできないものの、膨大な量のデータを低価格で手に入れることができるため、購入者にとっては抗いがたい、魅力的なサービスとなっています。またサイバー犯罪者は、ログのクラウドを利用することにより、これまで以上に多くの侵入ベクトルやテクニックを攻撃で試せるようになっています。
皆さんが映画館に行くときのことを考えてみてください。時には大画面でヒット作を見るために、追加料金を支払うこともあるでしょう。しかしNetflixのサブスクリプションなどのように、多数の映画をチェックしてこれまで名前を聞いたことがないような名作を見つけられるサービスを解約しようとは思わないはずです。
なお、サブスクリプションサービス(ログのクラウドなど)とボットネットマーケットを比較すると、例えばログのクラウドであれば、サブスクリプションの加入者全員が、すべてのログを閲覧することができます。これに対してボットネットマーケットでは大抵の場合、詳細情報を入手することができるのは購入者のみに限られているため、購入者以外のアクターが同じアカウントに不正アクセスする可能性は下がります。
予防と対応:資格情報の漏えいやアカウント情報への不正アクセスから組織を保護するためには
サイバー攻撃の半数以上において、有効なアカウントや資格情報が悪用されています。そのため、多数のベストプラクティスが、漏えいした資格情報や不正アクセスされたアカウントを保護し、悪用から阻止する取り組みを採用しています。なお、脅威アクターが不正に入手したアカウント情報を使って窃取したデータした場合でも、そのデータを悪用できないよう対応できる場合もあります。
まず取るべき対策として、システムやツール、サービスを利用する際の手順に、多要素認証を導入します。多要素認証を実装していれば、アカウントが侵害されたとしても、攻撃者にとっては悪用することが困難になります。また組織においては、パスワードを定期的に変更する方針を導入し、従業員が必ずパスワードの細部まで定期的に変更するよう徹底します(「Password1!」を「Password2!」に変更するような従業員は、月間の最優秀従業員賞を獲得できないと伝えておきましょう)。
次に、従業員が退職した場合は、速やかにその従業員の資格情報をシステムから削除します。ここで言う「速やかに」とは、オフィスの一室で開いた送別会の片づけが終わらないうちにということです。従業員が退職する際の手続きを確実に進めなければ、自らが攻撃者を招き入れているも同然と言えます。従業員の職務が変更になった場合や、一定期間だけ必要なテストユーザー用アカウントを作成した場合も、同様の手続きを進める必要があります。堅牢なセキュリティ手順を策定・実行しなければ、脅威グループ「Midnight Blizzard」がMicrosoft社の非運用テストテナントアカウントを足掛かりに同社を攻撃したインシデントのように、皆さんの組織も攻撃される可能性があります。
ただし残念ながら、これらの方法が常に確実であるとは限りません。脅威アクターは、ボットのファイルに含まれているクッキーなどの情報を使用することで、多要素認証をはじめとする対策を回避し、重要なビジネスサービスの初期アクセスを入手することができるのです。
これらの現状を踏まえると、最終的なベストプラクティスは、継続的にサイバー犯罪活動を監視する方法を確保するということになります。そうすることで、皆さんは最新の戦術・技術・手順(TTP)や脅威グループ、不正アクセスされたアカウントに関する情報を入手し、攻撃者の2歩先を行くことができるのです。またインテリジェンスを継続的に活用し、顧客を対象としたインシデント対応策を速やかに実施できる体制を整えておくことで、感染した端末がもたらすリスクを緩和することが可能となります
。
