権限昇格とは？攻撃の種類と対策

権限昇格は、サイバー攻撃の連鎖の一つの段階です。この段階では、脅威アクターは組織のシステムやリソースへの不正アクセスを利用して、より高い権限のアクセスを得ることで自分たちのアクセスを深めます。このアクセスを使って、機密データの窃盗やマルウェアやランサムウェアのインストールなど、より重大な攻撃を実行することができます。

権限昇格とは、脅威アクターがセキュリティの脆弱性を悪用して、システムに対する高度なアクセス権と管理権限を得ることです。ID（アイデンティティ）の権限を変更して自分たちに増加した権利と管理能力を付与することにより、攻撃者は悪意のある活動を行うことができ、重大な損害を引き起こす可能性があります。

システムには異なるレベルの権限があり、限られた権限を持つ基本的なユーザーから完全な制御を持つ管理者までの範囲があります。権限昇格の成功したインシデントは、攻撃者が自分の権限レベルを昇格させ、より高度な制御を獲得したことを意味します。

サイバー攻撃者は権限昇格を使用して、ターゲットシステムに新しい攻撃ベクトルを開くことができます。これにより、単純なマルウェア感染から壊滅的なデータ漏洩やネットワーク侵入へと攻撃を進化させることができます。

脅威アクターが使用する権限昇格攻撃に、主に2つの種類があります。垂直型と水平型です。どちらのタイプも攻撃者がリソースへの不正アクセスを試みたり、悪意のある行動を実行しようとすることを含みますが、攻撃の実行方法は異なるアプローチを含むことがあります。

垂直型権限昇格

攻撃者は垂直方向の権限昇格を使用することにより、標準ユーザーより高い権限レベル（例えばスーパーユーザーや管理者）のアクセスを得ることができ、システム全体に対する無制限の制御権を付与されます。多くの場合、システムの完全な制御が可能となり、設定の変更、ソフトウェアのインストール、高い権限レベルを持つ新しいユーザーアカウントの作成、あるいは重要なデータの削除などが行えるようになります。

水平型権限昇格

攻撃者が水平方向、つまり同じ権限レベルで異なるユーザーIDのアクセスを得た場合に発生します。例えば、攻撃者が従業員の盗まれた認証情報を使用する場合、これは水平型権限昇格になります。この場合の目的は必ずしもルート権限を得ることではありません。代わりに、同じ権限レベル内の他のユーザーに属する機密情報にアクセスすることが目的になります。

これら二つの攻撃タイプの主な違いは、攻撃者が求めるアクセスの種類にあります。垂直型昇格では、攻撃者は高い権限を得るために脆弱性を利用します。対照的に、水平型昇格では、攻撃者は同様の権限レベルの同僚間の弱いセキュリティ慣行を悪用します。

両タイプの権限昇格を検出するには、警戒と堅牢なサイバーセキュリティ対策が必要です。これらの対策には、通常と異なる活動を検出するセキュリティ監視システムの使用や、堅牢な認証方法の実施が含まれます。組織はこれらの攻撃のメカニズムと実行方法を理解し、潜在的な脅威から適切に保護されていることを確実にする必要があります。

攻撃者はよく、組織のサイバーセキュリティフレームワークの弱点を見つけ出すことで、システムへのアクセスを得ます。初期の侵入が成功すると、脅威アクターは特定の垂直型または水平型の権限昇格戦略を使用します。

• 垂直型：攻撃者は、システムやソフトウェアアプリケーション内の脆弱性を悪用して、基本的なユーザーアカウントからシステム管理者などの特権ユーザーレベルまで自分の権限を昇格させます。垂直型の攻撃では、脅威アクターがフィッシングメールなどのソーシャルエンジニアリング技術を使用して、ユーザーに不注意にアクセスを許可させたり、機密情報を明らかにさせたりすることもあります。
• 水平型：脅威アクターは、同等レベルのアカウント間の横方向の移動に焦点を当てます。しばしば、これにはクレデンシャル盗難やセッションハイジャックなどの戦術が関与します。攻撃者は、同様の権限レベルのユーザーが頻繁に使用するソフトウェアアプリケーションに悪意のあるペイロードを注入することさえあります。

垂直型でも水平型でも、権限昇格は一般的にネットワークやシステムの設定ミスを悪用することによって機能します。これには、機密システムの認証を設定していないこと、ファイアウォール設定の管理上のミス、オペレーティングシステムやウェブアプリケーションの特定の設計上の欠陥や見落としなどの脆弱性を利用することが含まれます。

権限昇格攻撃は、ローカルまたはリモートで実行されることがあります。ローカル権限昇格攻撃は、通常、組織内部の誰かによってオンプレミスで開始されます。リモート昇格は、より普及しており、ほぼどこからでも開始される可能性があります。

サイバーセキュリティにおいては、効果的なサイバー攻撃の予防は、しっかりとした災害復旧計画を持つことよりも常に優れています。以下は、権限昇格攻撃を防ぐために使用される最も基本的な対策です。

• 定期的なシステムパッチの適用：パッチ管理戦略を持つことが重要です。最新のパッチでシステムを維持することで、攻撃者がソフトウェアプログラムやオペレーティングシステムの既知のセキュリティ上の欠陥を攻撃に利用する可能性を減らすことができます。
• 強力な認証方法の実装：2段階認証（2FA）や多要素認証（MFA）を実装することで、クレデンシャル盗難を防ぎ、悪意のあるアクターが不正アクセスを得ることを難しくします。
• ユーザーアクティビティの監視：特権アカウントが侵害されたことを示す怪しい挙動をユーザーアクティビティで監視します。権限昇格を検出するには、ユーザーの行動パターンの突然の変化や通常とは異なるシステム管理者の活動に注意を払う必要があります。
• 強力なパスワードセキュリティポリシー：定期的に更新される、安全で複雑なパスワードを作成することを要求するパスワードポリシーを設定します。これは特に大規模な組織において有効です。
• 最小権限の原則の適用：ユーザーの権限をその役割に必要なものに限定することで、最小権限の原則を適用します。これにより、攻撃者がユーザーのアカウントを侵害した場合の潜在的な被害を減らすことができます。
• アクセス制御：Linux環境において、sudoアクセスの制御はLinux権限昇格インシデントの防止に役立ちます。sudo権限の適切な管理、定期的にそれを持つユーザーを見直し、高い権限で実行できるコマンドを確認することで、この脅威を抑えるのに役立ちます。

権限昇格攻撃は、適切なサイバーセキュリティの実践とツールを戦略的に組み合わせることで、より効果的に防ぐことができます。組織は、これらのタイプのサイバー攻撃を防ぐために、セキュリティ対策が堅固であり、定期的に更新されていることを確認する必要があります。

不正アクセスを防ぎ、システムセキュリティを維持することは、効果的な検出能力にかかっています。組織が権限昇格攻撃を検出するための方法は、以下の通りです。

• システムログの監査：システムログを定期的に確認して、通常とは異なるパターンや不審な活動（例えば、繰り返されるログイン試行の失敗や異常なコマンド使用）を見つけます。
• 異常検出ツール：ネットワーク内の通常の行動からの逸脱を異常検出ツールを使用して特定します。例えば、ユーザーロールの突然の変更は、進行中の権限昇格インシデントを示している可能性があります。
• ユーザーとエンティティ行動分析（UEBA）：UEBAは、機械学習アルゴリズムを使用して典型的なユーザー行動パターンを理解し、潜在的な権限昇格の試みを特定できます。そして、通常からの逸脱がある場合に警告を送信することができます。
• パスワード監視：承認なしにパスワードが変更された場合に警告するパスワード監視を実装します。これは、攻撃者が時間をかけて昇格された権限を維持しようとしていることを示す可能性があります。
• 侵入検出システム（IDS）：IDSは、バッファオーバーフローエクスプロイトやSQLインジェクション攻撃のような一般的な権限昇格技術の既知の署名をスキャンすることができます。その結果、重大な損害が発生する前にインシデントを早期に検出できます。

単一の方法ではすべての可能な攻撃ベクトルを捕捉することはできません。組織は、複数の戦略を組み合わせた堅牢な防御と積極的な検出対策を整備する必要があります。

権限昇格は、サイバー攻撃者がシステムを侵害して不正アクセスを得る技術です。この悪意のある活動は、盗まれたクレデンシャル、設定ミス、マルウェア、またはソーシャルエンジニアリングなど、さまざまな攻撃ベクトルを通じて発生する可能性があります。

マルウェア

攻撃者はしばしば、標的のシステムで権限昇格を試みるためにマルウェアのペイロードを使用します。このタイプの攻撃は通常、システム内で自らの権限を昇格させる悪意のあるペイロードを展開する前に、基本レベルのアクセスを得ることから始まります。

クレデンシャルの悪用

攻撃者はよく、弱いユーザーアカウントを利用したり、クレデンシャルを盗んだりすることで権限昇格を試みます。一度クレデンシャルを手に入れると、特権ユーザーになりすまして悪意のある行動を行うことができます。

脆弱性とエクスプロイト

LinuxおよびWindowsにおける権限昇格で一般的に使用される方法の一つに、ソフトウェアの脆弱性を悪用するものがあります。例えば、あるアプリケーションが最小権限の原則に従わない場合、攻撃者がルートまたは管理者権限を得る垂直型権限昇格を許容する可能性があります。

設定ミス

システム管理者が設定ミスにより、誤って水平型権限昇格の脆弱性を作り出すことがあります。これには、必要以上にsudoアクセスを付与することや、特権アカウント情報を適切に保護しないことが含まれます。

ソーシャルエンジニアリング

この方法は技術的な欠陥よりも人間との相互作用に大きく依存しています。典型的なシナリオは、従業員をだましてログイン詳細を明らかにさせ、攻撃者が安全なネットワークに容易に侵入することを可能にするものです。ソーシャルエンジニアリング攻撃を検出するには人中心の警戒が必要です。幸いにも、昇格された権限を伴う可能性のあるインシデントを特定的に検出できるツールも利用可能です。

権限昇格攻撃は、特にLinuxとWindowsのようなオペレーティングシステム特有のものもあります。

Linux権限昇格攻撃

Linuxのオープンソースの性質は、特定のタイプの権限昇格攻撃に対して脆弱性を持っています。例えば、以下のようなものです。

• カーネルの悪用：攻撃者がLinuxカーネルの脆弱性を利用してルート権限を得る一般的な方法です。これらの弱点を悪用することで、権限昇格を可能にする悪意のあるペイロードを実行できます。
• 列挙：脅威アクターは、ユーザーアカウントやネットワークリソースなど、さらなる攻撃に悪用可能なシステムに関する情報を収集します。
• SUDO権限の悪用：攻撃者はしばしば、不適切に設定されたsudo権限を利用します。特権ユーザーが自分のsudoアクセス権限を不注意に扱っている場合、攻撃者はこの見落としを自分の目的のために利用する可能性があります。

Windows権限昇格攻撃

Windowsは多くの企業がビジネス運用に依存しているため、権限昇格のインシデントに直面しています。以下は一般的に使用される方法です。

• アクセストークンの操作：この技術は、特権アカウントに関連付けられたトークンを操作し、システムが意図されたものよりも高レベルのアクセスを付与するよう騙すことに関与しています。
• ユーザーアカウント制御（UAC）の回避：攻撃者は、許可されていない変更を防ぐために設計されたUAC警告を回避しようと試みるかもしれません。これらの警告を引き起こさない隠密なプロセスを使用することで行われます。
• スティッキーキー：この攻撃は、sethc(.exe)（スティッキーキーを担当するアプリケーション）をcmd(.exe)（コマンドプロンプト）に置き換えます。これにより、ログイン画面で「シフト」キーを5回押すだけで、認証情報なしで管理者権限を得ることができます。

権限昇格を検出するには洗練されたセキュリティ対策が必要です。上記の予防および検出ソリューションはベースラインを提供しますが、組織はシステムを完全に保護するために追加のサポートが必要です。

権限昇格攻撃の多様性を阻止するには、堅牢なアイデンティティ脅威防御システムが必要です。Proofpointのアイデンティティ脅威の検知と対応ソリューションは、不審な活動や行動の変化に対するユーザーアカウントの監視によって権限昇格インシデントを検出するのに役立ちます。このソリューションは、悪意のある行動を実行しようとする試みや権限を昇格させる試みなど、潜在的なリスクを特定するために高度な分析を使用します。

このプラットフォームは、垂直および水平の権限昇格技術を認識するように設計されています。攻撃者がルート権限を得ようとしている場合でも、特権ユーザーが他のユーザーのデータへの不正アクセスを試みている場合でも、Proofpointはこれらの脅威を即座に検出することができます。

• 権限昇格を検出する：Proofpointは、ユーザーの許可レベルを超えるアクセスの取得、システム管理者権限の突然の変更、sudoアクセスの誤用など、通常とは異なる活動を特定し、攻撃者が権限を昇格しようとしていることを示す行動を検出します。
• インシデントに対応する：潜在的なインシデントを検出すると、Proofpointは直ちにアラートを引き起こします。これにより、ITチームが迅速に対応できます。
• リスクを軽減する：すべてのシステム（LinuxおよびWindowsを含む）で最小権限の原則を厳格に適用することにより、攻撃者が権限昇格を試みる機会を最小限に抑えます。

この積極的なアプローチで攻撃を防ぐだけでなく、Proofpointは組織が安全な環境を構築することを支援します。これは、悪意のあるアクターがシステムの脆弱性を悪用して不正アクセスを得る一般的な例について教育することによって行われます。この知識は、ビジネスが反応的ではなく積極的に、サイバー犯罪者の常に進化する戦術よりも先に行動する力を与えます。詳細については、こちらからお問い合わせください。