クラウドの脅威にパレードを台無しに(Rain on Your Parade)されないために

March 22, 2019
Itir Clarke

本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/dont-let-cloud-threats-rain-your-parade」の翻訳です。

サイバー犯罪者がクラウドアカウントを侵害する手順を詳しく解説した先日のブログ記事からは、Microsoft Office 365とGoogle G Suiteへの攻撃に関する重要なインサイトが得られます。これらのブルートフォース攻撃およびフィッシングに関連した攻撃の結果、クラウドを利用しているテナント企業の40%が、自らの環境内に少なくともひとつの不正なアカウントを持っているのです。脅威アクターは、テナント内部に足がかりを得た後、組織の他のメンバーやビジネスパートナーへのフィッシング攻撃を行って組織内のラテラルムーブメント(横方向への移動)を開始し、サイバー詐欺やデータ窃盗の可能性を探ります。

Office 365およびG Suiteのアカウントは、貴重なデータを扱い、重要なビジネスコミュニケーションを行うため、非常に狙われやすいターゲットです。攻撃者は、ユーザーの電子メールアカウントが他のクラウドサービスアカウントに受け継がれるときに、それらのアカウントのパスワードをリセットすることもできます。これら2つのクラウドサービスをアカウント侵害から保護するためには、攻撃を受ける可能性が最も高いユーザー、攻撃に対して脆弱なユーザー、および/または機密データへのアクセス特権を与えられたユーザーを守る「人中心」のセキュリティアプローチとともに、脅威防御、認証およびデータセキュリティの機能を慎重に積み上げる必要があります。

Proofpointは、組織がクラウド上の脅威を検出して自動的に対応できるようサポートします。そのソリューションについて説明する前に、クラウド攻撃がどのように行われるかを見てみましょう。

クラウド攻撃のプロセス

Proofpointはクラウドアカウントに対する攻撃を研究し、4つのステージを特定しました。

ステージ1:偵察

脅威アクターは、攻撃の有効性を高めるためにクラウドサービスのクレデンシャル(認証情報)を探しています。彼らは、標的に対するブルートフォース攻撃を仕掛ける前に、フィッシングメールを送信したり、キーロガーなどのマルウェアに感染させたり、「Collection #1」などのクレデンシャルダンプから漏えいしたクレデンシャルを収集したりします。

ステージ2:侵入

Proofpointの研究によると、脅威アクターは検出を逃れ、セキュリティ対策を回避するための手法を進化させ続けています。フィッシング攻撃は、特定の地域から外へのアクセスを制限するための条件付きアクセス対策を回避するためにVPNなどの匿名化サービスを利用することがあります。また最近では、HR@company[.]comやhelp@company[.]comなどのサービス用の共有アカウントを標的としたIMAPベースのパスワードスプレー攻撃も観測しました。一般にこれらのアカウントは、多要素認証(MFA)をサポートしていないレガシーなメール認証プロトコルを使ったアクセスを許可します。たとえば、Proofpointは侵害されて攻撃の一部として使用されていた会議室の電子メールアカウントを見つけました。多くのケースで、攻撃者はクレデンシャルの盗難やブルートフォース攻撃の成功から数日のうちに、アカウントにアクセスして攻撃を拡大し始めます。

ステージ3:拡散して潜伏

侵害されたアカウントがひとつでもあれば、攻撃を急速に拡大することができます。侵入先のアカウントにログインすると、攻撃者は情報を収集し始めます。彼らはメールを読み、ユーザーのカレンダーをチェックし、連絡先をダウンロードし、そしてビジネスプロセスについて学びます。これにより、組織内外の他のユーザーをターゲットにすることができます。最初に侵害したアカウントが金銭やデータを盗むための適切な権限を持っていない場合、脅威アクターはフィッシングメールを社内外のユーザーに送信したり、OneDriveなどのクラウドアプリ上でマルウェアを共有したりして感染を拡大させます。

さらに、攻撃者はフォルダの共有権限を変更したり、ユーザーのパスワードが変更された場合でもデータにアクセスし続けることができるようにOAuthアプリをインストールしたりします。また、電子メールの転送ルールを作成し、管理者アカウントを作成し、二要素認証を無効にするなどして侵入先のアカウントへのアクセスを維持します。

ステージ4:漏えい

攻撃を適切に検出できず、横移動して拡散してしまった場合、アカウントの侵害による不正な送金が行われたり、財務記録や知的財産などの貴重なデータが流出したりする可能性があります。Proofpointは、中間者攻撃、ビジネスメール詐欺(BEC)、ソーシャルエンジニアリング、電子メールによるデータの流出、ファイルのダウンロード、またはOAuthアプリケーションの共有とインストールなどの活動を観測しています。

あらゆるステージでクラウドアプリ攻撃に対抗

クラウドアプリケーションを狙った攻撃に対抗するためには、人を中心としたセキュリティアプローチが必要です。誰が、どのように攻撃されているかについて理解する必要があります。

これらのクラウド攻撃の各ステージで、人々をどのように保護すべきかを考えてみましょう。

ステージ1:マルチチャネル脅威インテリジェンス

漏えいまたは盗難に遭ったクレデンシャルは、クラウドサービスのテナント組織を危険にさらす踏み台となるため、侵害されたアカウントを正確に特定する必要があります。そのためには、次のようなクロスチャネルの脅威インテリジェンスが必要です:

  • フィッシングに関連したインシデントを特定するためのメール脅威インテリジェンス。
  • ブルートフォース攻撃に対して脆弱なアカウントを特定するための漏えいクレデンシャルインテリジェンス。
  • 疑わしく、悪意のある活動に関与するIPおよびドメインを特定するための新興脅威インテリジェンス。

ステージ2:脅威の検出とリスクベースのMFA

脅威アクターのフィールドで戦うことは、簡単ではありません。何百万人ものユーザーのログインの中から彼らの高度な攻撃を正確に検出するためには、高度な機械学習などに基づく機能が必要です:

  • ユーザーとエンティティの行動分析(UEBA:User and Entity Behavior Analytics)は、デバイス、ロケーション、ISPなどのユーザーのクラウドアクセスパターンを調査し、異常な行動を検出します。
  • 攻撃者の広範囲な行動識別は、ブルートフォース攻撃で見られるような、複数のクラウドサービステナントにわたって複数のアカウントにアクセスするIPを検出します。
  • 電子メールの脅威インテリジェンスとUEBAの結果を関連付けることで、フィッシング攻撃の成功とアカウント侵害を結びつけます。
  • 直近に漏えいしたクレデンシャルのような人中心のパラメーターを、リスクレベルの計算に使用します。
  • IPレピュテーションチェックは、ログインが悪意のあるIPからのものかどうかを判断します。
  • 悪意のあるファイルのスキャンとサンドボックスによって、クラウド内で共有されているマルウェアを検出します。
  • クラウド脅威の研究チームが、絶えず進化する脅威ランドスケープについての最先端の可視性を提供します。

パスワードエクスプロイトが増え続け、クラウドサービスが急増している状況では、認証方法も進化しなければなりません。レガシーな認証プロトコルがブロックされた場合は、モダン認証を有効にする必要があります:

リスクベースのMFAを使用すると、組織は上記の脅威検出機能を利用して、ユーザーアクセスを許可するかどうか、またはMFAを要求するかどうかを決定することができます。ユーザーの役割、権限、場所、IPレピュテーション、デバイスの衛生状態、コンプライアンスなどのさまざまな情報が、ログイン試行のリスクを判断するために使用されます。

ステージ3:脅威からの保護と継続的な認証

検出された脅威のレベルと種類に応じて、組織はさまざまなクラウドアクセスセキュリティ対策を積み重ねて多階層化します:

  • アカウントが侵害された可能性がある場合、詳細なアクティビティフォレンジックによる調査で、侵害アカウントを拡大し永続化させようとする脅威アクターの活動を見つけ出します。
  • 高いレベルの脅威が検出され、MFAが選択肢ではない場合(たとえばレガシーな認証プロトコルまたは共有アカウントをサポートする必要がある場合)、ユーザーアカウントを一時停止するなどの自動修復が良い選択肢となります。
  • セッション中に危険な行動がエスカレート(たとえば、代理アカウントの変更やフォルダの広範囲な共有など)した場合、アクセス権限を表示のみに制限したり、継続的認証を使ってアクセスを制限したりします。たとえば、適合していないデバイスへのファイルのダウンロードはWeb分離ツールを使用してブロックできますし、リスクベースのMFAはセッションの途中でも適用できます。
  • 内部のフィッシングやスパムは一般的な手法であるため、電子メールスキャンツールおよび自動引き戻しツールを使用して悪意のある電子メールを検出し、ユーザーの受信トレイから回収することができます。

ステージ4:データセキュリティ

侵害されたアカウントを使って、ユーザーデータだけでなく、Microsoft SharePoint Onlineなどのコラボレーションツールで広く共有されているその他の企業データも流出させられる可能性があります。データの盗難を防止するために、組織にはさまざまなデータセキュリティ機能が必要です:

  • マルチチャネルの情報漏えい対策(DLP)機能は、組織がプライマリデータストアおよびオンプレミスリポジトリ、電子メール、クラウドなどのデータ交換チャネルを横断して重要なデータを正確に発見し、保護するのに役立ちます。
  • 異常なファイル操作と疑わしいログインとの関連付け、およびきめ細かいファイルフォレンジックにより、情報漏えい/侵害調査のスピードと有効性が向上します。
  • 自動化されたファイルとフォルダの修復機能は、広範囲な共有とデータ盗難の可能性を減らします。
  • 高リスクのOAuthアプリのアクセス許可を取り消す機能により、脅威アクターがアカウントを永続化して長期間にわたってデータ流出させることを防ぎます。

詳細な情報

大規模なクラウド攻撃が有効であるという事実は、クラウドアプリケーションのセキュリティについて、より厳格なアプローチが必要であることを示しています。Office 365およびG Suiteを利用しているお客様すべてが、即座にクラウドアプリケーションのリスクを監査することをお勧めします。こちらからお申し込み下さい。Proofpointでは世界各地で「Proofpoint Cybersecurity Series:CASBでクラウドを保護する」を開催しておりますので、近くの街で開催される場合には、是非ご参加下さい。

Proofpoint Cloud App Security Broker(PCASB)とInternal Mail Defense(IMD)は、クラウドアプリ攻撃、機密データの盗難、およびクラウド内のコンプライアンスリスクから組織を保護します。 PCASBの詳細はこちら、IMDの詳細はこちらからご確認ください。