CrowdStrike Blog：アイデンティティ保護の重要性：最近注目されたサイバー侵害から学ぶ重要なポイント

　最近、SolarWinds（ソーラーウィンズ）のソフトウェアが高度な攻撃者に悪用されたことが明らかとなり、またFireEye（ファイア・アイ）は自社のレッドチームが使用するツールが窃取されたことを公表しました。しかしこのような侵害は、CrowdStrikeが企業に提示するセキュリティ施策の方向性を変えるものではありません：それはアタックサーフェス（攻撃対象領域）を最小限に抑え、迅速な検知と対応を行い、インシデントを緩和して侵害に発展させないようにすることです。ただ、今週業界で見られたものを含めて、侵害においてアイデンティティを中心とした攻撃が不可欠な要素となっている点は、以前から変化したといえます。

　昨今、悪意ある攻撃者は、アイデンティティ中心の攻撃を好む傾向にあります。正当なクレデンシャル（認証情報）の使用は一般的な方法であり、検知がかなり難しく、ゼロデイ攻撃やカスタムメイドのサプライチェーン攻撃のような他の種類の攻撃に比べて、コストを大幅に低く抑えることができるためだと考えられます。クレデンシャルの不正使用により、従業員のクレデンシャル、特権ユーザーアカウントやサービスアカウントといったリソースへのアクセスが可能となります。このように適切な役割に基づいたロールベースのアクセス制御を実装しているIT 環境であっても、リアルタイムのコンテキストに基づいたアイデンティティの確認なくクレデンシャルに信頼をおくことが弱点をもたらし、被害を受ける可能性があります。サービス間に残る信頼情報とロールベースのアクセス制御の割り当ても、単なるクレデンシャルの検証を超え、意味のある方法でアイデンティティが検証されなければ、リソースを脆弱なまま放置することになります。

SolarWindsでのサンバースト：リアルタイムでのラテラルムーブメントの検知と防御

　SolarWindsを悪用したサプライチェーン攻撃は、トロイの木馬化されたソフトウェアアップデートを介して開始されましたが、それに続くミッション実行のための攻撃は、ラテラルムーブメント（水平移動／侵入拡大）によるものでした。有効なクレデンシャルを利用したラテラルムーブメントは、「より小さい」フットプリントで被害者の環境にアクセスすることができると考えられ、好まれました。事実、攻撃者は被害者のネットワークに侵入した後、複数のクレデンシャルを使用し、検知をより困難にしました。ラテラルムーブメントは非常に速く行われる可能性があるため、ログや事後分析だけではセキュリティアナリストへの警告を発信し、侵害を軽減させるには遅すぎます。攻撃者は、悪意のあるコードを介してネットワークへのアクセスを得ることもできたはずですが、ネットワークをナビゲートしようと試みた時に検知されたはずです。

　これらの最近の攻撃を阻止するために必要となるアイデンティティ中心型アプローチでは、リアルタイムでのトラフィック認証分析と機械学習（ML）分析を組み合わせて使用し、アイデンティティ攻撃が行われようとしているとき、もしくはすでに進行中の攻撃を迅速に特定して対応します。このアプローチで検知・阻止できる、ラテラルムーブメントを利用するその他の攻撃には、最近のMazeランサムウェアのようなランサムウェア攻撃があります。さらに、特にゆっくりと進む複数のクレデンシャル攻撃などは、明らかに悪意のあるものとしてフラグが立てられない可能性があります。認証トランザクションの正当性をリアルタイムに検証するため、リスクベースの条件付きアクセスを自動的に動作させる自己適応型のポリシーメカニズムを組み合わせる必要があります。

アイデンティティ特化型攻撃ツールの検知と対応

　企業を確実に保護するため、CrowdStrikeは、関連するホスト名やIPアドレス、URL、バイナリハッシュ、レジストリキー、その他のIOC（侵害の痕跡）や戦術、技術、および手順（TTP）をさまざまなデータベースに更新し、該当するバイナリやコマンド&コントロール（C2）のホスト名を悪意のあるものとしてタグ付けしています。

　FireEyeへの侵害によって窃取されたツールのうち、以下のものは悪意ある攻撃者が使用した場合に検知される必要があります。

●Active Directoryの予備調査および悪用
●クレデンシャルダンピングおよび盗用
●ケルベロス認証の悪用および搾取
●SharpHoundやADPassHuntなどを含む、引用された特定のオープンソースツール

　Falcon Identity Protection ソリューションを使用されている CrowdStrike のお客様は、以下3つの方法で最近報告されている脅威から既に保護されています。

1.プロトコルの脆弱性（NTLM など）の把握、古い特権アカウントの識別、すべてのサービスアカウントのマッピング、およびアイデンティティストアに関する他のリスクを通じて、IT ハイジーンを改善し、アタックサーフェスを縮小して、プロアクティブに保護

2.SolarWindsの侵害における被害者に使用されたラテラルムーブメントの技術を含む、アイデンティティベースの攻撃ベクトルをリアルタイムで検知することにより、進行中の攻撃を軽減

3.FireEyeへの侵害により盗まれた攻撃テストツールの一部を含む、アイデンティティ特化型攻撃に対する自動対応による保護

　またCrowdStrikeのお客様には、最近公開されたSolarWindsインシデントへの防御に役立つ機能を既に提供済みです。

●CrowdStrike Threat Graphが侵害されたホストを識別：
・新たなSolarWinds Vulnerability Dashboardは、SolarWindsの脆弱性に関連するIOCのあるホストを識別し、また過去90日間に遡って侵害されたファイルが書き込まれたデバイスを確認
・The Indicator Graphは、過去1年間にファイルやホストに侵害の証拠があるかを特定することが可能

●特定のML検知による新たなインシデントの識別：
・Cloud ML検知オプションを有効にしたホスト上で、SolarWindsの脆弱性に関連するIOCの検知・表示

　最近のインシデントによって、セキュリティに対するアイデンティティ中心型アプローチの重要性が注目されています。セキュリティ対策が常にお客様のコアビジネスではないからこそ、CrowdStrikeはお客様を保護することをコアビジネスとして支援に取り組んでまいります。

FireEyeへの称賛

　FireEyeからの情報開示と透明性に感謝します。FireEyeは、組織や防御を行う方々が盗まれたツールから自らと組織を保護するために使用できる重要な情報を提供しています。この情報は、FireEyeのブログで入手できます。

　私たちは皆、同じ攻撃者と戦っています。FireEyeのサイバー攻撃に関する情報公開と対策共有の迅速さは、称賛に値します。

　SolarWindsのサイバー攻撃の詳細については、SolarWindsがインシデントに関しSolarWinds Security Advisoryを公開しており、これにはSolarWinds Orionプラットフォームの使用に関連する詳細な推奨事項が含まれています。

＊原文はCrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/identity-security-lesson-from-recent-high-profile-breaches/