本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/threat-actors-leverage-credential-dumps-phishing-and-legacy-email-protocols」の翻訳です。
Proofpointの研究者は、主要なクラウドテナント(クラウドサービスを利用している組織)に対し、6ヶ月にわたる調査を行い、大規模なブルートフォース攻撃の際にクレデンシャルダンプ(流出したユーザーIDとパスワードのリスト)とレガシーなメールプロトコルが利用され、アカウント侵害のスピードと有効性を高めていることを発見しました。IMAPを使うOffice 365およびG Suiteのクラウドアカウントに対する攻撃をMFA(多要素認証)で保護するのは難しいと考えられ、組織がサービスを提供するために使うメールアカウントや共有のメールボックスは、潜在的に脆弱ということができます。
同時に、この標的型のインテリジェントなブルートフォース攻撃は、大規模なクレデンシャルダンプに含まれる「ありがちな」ユーザー名とパスワードの組み合わせを使用してアカウントを侵害するという、パスワードスプレー攻撃における新しいアプローチでもあります。さらに、受信者を騙して認証のためのクレデンシャルを入力させる洗練されたフィッシング攻撃により、攻撃者は企業アカウントを入手するための新たな手段を手に入れました。
Proofpointが数百万人分ものクラウドユーザーのアカウントをモニタリングして、10万回以上の不正ログインを分析した結果、次のことがわかりました:
- テナントの72%が、少なくとも1回は脅威アクターに狙われました
- 自らの環境内に侵害されたアカウントが少なくとも1つあったテナントは、40%に上ります
- アクティブなユーザーアカウントの2%以上が、悪意のあるアクターによって狙われています
- アクティブなユーザーアカウント1万件につき15件の割合で、侵害が成功しました
最初に狙ったターゲットが送金やデータアクセスのための十分な権限を持っていない場合、攻撃者はまず内部へのフィッシング攻撃を仕掛けます。正規にログインした状態でユーザーのメールおよび連絡先情報にアクセスする場合、外部からアクセスする場合よりも検出が困難なため、攻撃者は内部フィッシングおよび内部BEC攻撃により組織内でラテラルムーブメント(横方向への移動)を行い、足場を広げます。攻撃者はまた、これらの信頼されているユーザーアカウントやブランドを利用して外部への攻撃を行ったり、より広範な攻撃キャンペーンの一環として組織のインフラを利用したりします。
攻撃元
ほとんどの攻撃者のログインは、ナイジェリアのIPアドレスを起点にしています。これらは成功した攻撃すべてのうち40%を占め、中国のIPアドレスからのログインが26%でそれに続いています。その他の主な攻撃元は、米国、ブラジル、南アフリカです(図1)。
図1:成功した攻撃のログイン元の相対的ボリューム
2018年11月から2019年1月の間に、ナイジェリアのIPアドレスが関与する成功したブルートフォース攻撃とフィッシング関連攻撃が65%増加しました。これらの攻撃のすべてに、必ずしもナイジェリアのアクターが関与しているわけではありませんが、最近の逮捕者や活動状況は、この地域で広まっているサイバー犯罪と一致しています。
標的型でインテリジェントになるクラウドアプリへのブルートフォース攻撃
Proofpointの調査では、攻撃に最も広く利用されているプロトコルはIMAPでした。IMAPはレガシーな認証プロトコルで、以下の様な特定の状況下でMFAを回避するために使用されます:
- モダン認証をサポートしていないサードパーティの電子メールクライアントと併用される場合
- アプリのパスワードを完全に実装していないターゲットを狙う場合(サポートされていないクライアントの場合はMFAの代わりになる)
- MFAを有効にできない、またはIMAPがブロックされていない共有メールアカウントを標的にする場合
設計上、これらの攻撃ではアカウントがロックアウトされず、個別のログイン失敗に見えるため、気づかれることはありません。
- Microsoft Office 365とG Suiteのテナントの約60%が、IMAPベースのパスワードスプレー攻撃の標的となっていました
- その結果、Office 365とG Suiteのテナントの約25%が成功裏に侵害されました
- 標的とした組織のアカウント侵害で、攻撃者は44%の成功率を達成しました
IMAPベースのパスワードスプレー攻撃は特に効果的で、2018年9月から2019年2月の間に大量に観測されました。これらの攻撃は、エグゼクティブやそのアシスタントなどの高価値ユーザーを主に狙っています。
- 平均して、攻撃者は標的としたテナントのアクティブなユーザーアカウントの10%を標的にしました
- 標的としたユーザーアカウントへの攻撃の1%が成功しました
攻撃者は、世界中で数千もの乗っ取られたネットワークデバイス(主に脆弱なルーターやサーバー)を攻撃のためのプラットフォームとして利用していました。これらの乗っ取られたデバイスは50日の間、平均2.5日ごとに新しいテナントにアクセスしていました。
IMAPベースの攻撃の大部分は中国を起点としており、成功した悪意のある攻撃の53%を占めています。続いてブラジルのIPアドレスからの攻撃(39%)、および米国のインフラ(31%)です。攻撃は調査期間中に複数の地域から発生することが多く、攻撃の発生元と攻撃者の国籍との間に一貫性のある直接的な関係は無い事に注意する必要があります。
IMAPのパスワードスプレー攻撃の有効性は、クレデンシャルダンプ公開後に急上昇
図2:IMAPベースのパスワードスプレー攻撃による月別のアカウント侵害
(大規模クレデンシャルダンプの「Collection #1」が公開された12月に急増している)
世界中のさまざまな国や業界の組織が攻撃の影響を受けていますが、K-12(幼稚園 - 小学校)と高等教育の両方のセクターが、これらの大量のブルートフォース攻撃に対して最も脆弱なようです。すべての教育機関のテナントの70%が、IMAPベースの総当たり攻撃に起因する侵害を経験しています。成功した攻撃の13%以上は教育機関向けで、攻撃者は侵害されやすい学生を利用し、科学研究などの貴重なデータにアクセスしています。さらに、攻撃者はこれらの侵害されやすい乗っ取られたアカウントを使ってスパムキャンペーンを行うことが多く、このセクターに対する攻撃の影響は、教育機関以外に広がっています。
フィッシングを起点とするラテラルムーブメントとハイブリッド攻撃
侵害され流出したデータを利用する攻撃とは違い、これらの攻撃は電子メールによるフィッシング攻撃から始まり、攻撃者は盗んだクレデンシャルを使用して、ユーザーのクラウドアプリケーションアカウントに侵入します。Proofpointの研究者は、すべてのクラウドテナントの31%以上が、成功したフィッシング攻撃を起点とする侵害を受けていることを発見しました。
これらの攻撃のほとんどはナイジェリアのIPアドレスを起点としており、成功した悪意のある攻撃全体の63%を占め、続いて南アフリカのインフラ(21%)、およびVPN経由の米国(11%)が続いています。攻撃者は、VPNやTorノードなどの匿名化サービスを使用して、条件付きアクセスや位置情報ベースの認証を回避することもあります。これらの攻撃はまた、IMAPプロトコルを利用してハイブリッドな攻撃を形成する可能性があります。
図3:クラウドアカウントを侵害し利用する典型的なフィッシング攻撃の概略図
攻撃者がクラウドアカウントを侵害した後、これらの「信頼されている」アカウントから内部へフィッシングメールを送信して他のユーザーを侵害することで組織内を横方向に移動するのが、ラテラルムーブメントです。攻撃者は電子メールの転送ルールを変更したり、代理設定を利用してアクセスを維持したり、中間者攻撃を仕掛けることがあります。彼らはまた、侵害したアカウントを他のテナントのユーザーへのフィッシング攻撃に利用することで、テナントを越えた侵害を引き起こします。
攻撃者はすべての業界を狙っていますが、パスワードスプレー攻撃と同様に、教育機関はフィッシング関連の攻撃に対しても最も脆弱です。成功した攻撃の15%が教育機関のユーザー、特に大学生や高校生を狙ったものでした。
その他に狙われている業界は、小売、金融、そしてテクノロジーなどです。いくつかのケースでは、攻撃者は企業の給与計算システムを狙い、 従業員の給与の振込先を変えたり、財務文書にアクセスしたりしました。一貫して、営業担当者、ゼネラルマネージャー、コマーシャルフランチャイジー、プロジェクトマネージャー、アカウントエグゼクティブなどの肩書を持つ関係者が標的にされており、これらはフィッシングに関連した侵害を非常に受けやすい肩書ということができます。
結論
この調査では、世界中の脅威アクターがさらに洗練され、ブルートフォース攻撃や大規模なクレデンシャルダンプおよびフィッシング攻撃を利用して、これまでにない規模でクラウドアカウントを侵害していることが示されました。MFAには脆弱性があり、サービス用のアカウントと共有メールボックスは特に注意が必要です。侵入が成功した後、攻撃者は組織内のフィッシング攻撃やラテラルムーブメント、あるいは信頼された外部組織の侵害へと攻撃を拡大させます。組織は、ユーザーのクラウドアカウントを侵害しようとするこれらの進化する脅威に対抗するために、ユーザー教育を含む多階層型のインテリジェントなセキュリティ対策を検討する必要があります。
【2019年3月21日更新】:この投稿は、IMAPベースのパスワードスプレー攻撃が成功する特定のケース、特に脅威アクターが共有サービスアカウントを標的にした攻撃(例:hr@company[.]comまたはhelpdesk@company[.]com)またはMFAの実装とサードパーティメールクライアントのログインにおける脆弱性に関する内容を反映して更新されました。