IIJ・根岸征史氏が6つのポイントから解説 - 見直すべき初期侵入への対策とは

9月12日～15日に開催された「TECH+ EXPO for セキュリティ 2023」にインターネットイニシアティブ（IIJ） セキュリティ情報統括室 室長の根岸征史氏が登壇。最先端のセキュリティ対策が日々アップデートされる昨今だからこそ改めて見直したい、初期侵入対策の重要性について語った。
初期侵入に関する最近の脅威動向

根岸氏はまず、初期侵入に関する最近の脅威動向について説明した。

なぜ、初期侵入をテーマに挙げたかについて同氏は、ランサムウェアや標的型攻撃により情報を盗まれたりする事案が複数あるが、初期侵入対策をきちんと実施していれば防げた事案が目に付き、危機感を持ったためだと言う。

昨今は、境界防御には限界があるとの考えから、侵入されることを前提に、攻撃者を見つける脅威ハンティングをするべきだという解釈も広まっているが、それを誤解し、「そもそもの侵入を防ぐ対策がおろそかになっていると感じることが多い」（根岸氏）そうだ。

Covewareが四半期ごとにランサムウェアの侵入原因を調査したレポートによれば、最近は原因が「Unknown」となるケースが25%を超えている。つまり、侵入原因が特定できないケースが増えているのだ。

これを受けて根岸氏は、「侵入原因が特定できないということは、仮にランサムウェアからの攻撃に対する復旧を行っても、再び攻撃される可能性がある」と警告した。

さらに同氏は、初期侵入に関する最近の脅威動向として、以下の6つを挙げた。

ゼロデイ攻撃
アクセス制御の不備
サプライチェーン攻撃
正規アカウントによる侵害
Initial Access Broker（IAB)の台頭
多要素認証（Multi-Factor Authentication、MFA）を回避、突破する攻撃

状況の把握が重要なゼロデイ攻撃

ゼロデイ攻撃の例として、根岸氏はいくつかを取り上げた。例えば、CLOPと呼ばれるグループが、企業間でのファイル転送によく使われる製品の脆弱性を使って侵入して企業の機密情報を盗み、「公開されたくなければ金を払え」と脅迫する事例は世界中で発生している。また、Barracuda社製のEmail Security Gatewayへの攻撃は国内でも事例がある。さらに、FortiOS/FortiProxy SSL-VPNとCitrix ADC/Gatewayを用いた攻撃はVPN機器の脆弱性を利用したもので、パッチが出る前から攻撃の事例が確認されているという。

こういった事例を踏まえた上で根岸氏は、ゼロデイ攻撃への対応では、状況の把握が重要だと強調した。

「ゼロデイは、パッチも何もない状態でいきなり攻撃されるわけなので、防ぐのが難しいと思えます。ですが、大事なのはその後です。ゼロデイと言っても、攻撃が確認されれば、その情報がベンダーに報告されて既知の脆弱性になります。パッチが出て既知の脆弱性になった後に、どれくらいのスピードで攻撃が来るのか、自分たちも影響を受けるのか、この対応でその後の状況が大きく変わってくるでしょう。つまり、ゼロデイが公開された後の状況の把握が大事になります」（根岸氏）

さらに同氏は、実際に悪用された脆弱性について調べたレポートを例に、「パッチが公開されてから早いものだと、2日以内、遅くとも1カ月以内に約45%の確率で攻撃が来た。（中略）自分たちが対象となるソフトウエアを使っている場合、すぐに攻撃される可能性のあるものなのかという状況の把握が必要になる」と述べた。

事前の管理を徹底し、アクセス制御の不備をなくす

アクセス制御の不備に対する攻撃について根岸氏は、事前の管理をしっかりとしておけば、「慌てすぎる必要はない」と言う。本来、外部からアクセスする必要がないものについては、きちんと事前にアクセス制御をし、必要な人だけがアクセスできるようにしておけば良いのだ。

「ネットワーク機器の管理インターフェースをインターネット上に公開する必要があったのかということを改めて問い直し、事前に管理インターフェースの公開を制御・禁止しておくべきだと思います」（根岸氏）
人間による誤った判断にも注意が必要なサプライチェーン攻撃

サプライチェーン攻撃では、今年発生した、3CXというWebのソフトウエアのベンダーへの攻撃が紹介された。これは、正規の署名付きインストーラーの中にマルウェアが入っていて、アップデートすると自動的にマルウェアも侵入してしまうという、非常に防ぎにくい攻撃だったそうだ。

原因は、3CXの社員が別のサプライチェーン攻撃により、自分の端末をマルウェアに感染させてしまったことにある。攻撃者はそこを起点に横展開し、最終的に3CX社内のビルド環境を侵害して、マルウェアを埋め込んだ。

ただ、これに関しては、一部の利用者環境ではEDR（Endpoint Detection and Response）が検知していたが、「正規のインストーラーで、そんなことがあるはずない」と考え、誤検知と判断して対応しなかった人が多くいたという。

「EDRが攻撃を検知したとしても判断する人間が誤検知と思ってしまったら、せっかくの製品技術が活かせません。仮に検知できてもこういう対応になる可能性を肝に銘じておく必要があります。自分たちの環境で起きたら、冷静に判断できるかということを、考えてほしいですね」（根岸氏）
技術よりも運用面に課題 - 正規アカウントによる侵害

根岸氏曰く、昨今は正規のアカウントによる侵害も増えている。

侵入原因としては、VPN機器から認証情報を取るなど、何らかの手法で漏えいした認証情報を使って正規のアカウントになりすまして侵入するケースがある。また、Infostealerと呼ばれる、感染するとブラウザから情報を窃取するマルウェアもあり、それによって認証情報が盗まれて侵入されるケースもあるそうだ。

また、コロナ禍でリモートワークが普及し、IT環境が変化したことによる、侵害の事案もある。リモート環境下では、個人のアカウントと組織の企業アカウントとの垣根がはっきりしなくなる。その結果、個人アカウントの中に企業のネットワークに侵入することができる認証情報が入っているケースが時々報告されているという。

さらに、米国のサイバーセキュリティ社会基盤安全保障庁（CISA)のリスクアセスメントレポートでは、攻撃に成功したテクニックで最も使われたのが正規のアカウントになりすまして侵入するものであり、デフォルトのアカウントや退職者のアカウントがそのまま残っていて使われた例も多数あることが報告されている。

「これは技術的な話ではなくて、アカウントの運用面の話です。こういった不備が、実は多くの侵入原因になります。攻撃のスピード競争に負けるケースはたびたび起こり得るので、パッチを当てるときにはもうすでに侵害されている前提で対応することが必須です」（根岸氏）
IABの台頭と、多要素認証の回避にはどう対応すべきか

根岸氏は最後に、Initial Access Broker（IAB)の台頭や、多要素認証（MFA）を回避する攻撃手法と、その対策について説明した。

Adversary in The Middle（AiTM）と呼ばれる攻撃は、被害者が入力する情報を本物のサイトに中継するタイプのフィッシングで、ワンタイムパスワードやSNSに送付したコードを入力させるといった多要素認証にも有効な攻撃手法としてよく使われている。

また、先述のInfostealerは、ブラウザに保存されている認証済みのクッキーを盗んでユーザーに成りすます、いわゆるpass-the-cookieと呼ばれる攻撃手法でも利用される。

認証済みのクッキーを使うと認証を全部突破していきなりアクセスできる。これを防ぐためには、クラウドのアカウントであれば、条件付アクセスと呼ばれる「今アクセスしているコンテキストに応じて正規のアクセスなのかどうかを判断する」仕組みや、追加の認証を要求しなくてはいけない。

その他に、MFA fatigueと呼ばれる攻撃は、多要素認証でID・パスワードを使ってログインしたときに、そのユーザーの認証アプリに通知を飛ばすようなタイプで、攻撃者がID・パスワードを盗んで入力すると、正規のユーザーのスマホアプリに認証の通知が飛び、それを許可すると侵入されてしまう。

高度なものになると、企業のサポートの部門や情報システム部門を装って電話をかけ、ソーシャルエンジニアリングを付け加えることで、認証を突破しようとするような攻撃事例が報告されている。

これらの攻撃に対して根岸氏は、「多要素認証があれば防げると思っていると、最近の攻撃はそこも突破してくる。このことを頭に置いて対策を進めるべき」だと注意を呼び掛けた。

そして最後に、次のようにアドバイスして、講演を締めくくった。

「紹介したいくつかの事例を見ても、基本的な対策が漏れていたと感じるものが依然として多くあります。新たな攻撃も増えていますが、従来から見られる侵入事案が減っているかというと、決して減っていません。再度、足元を見直して対策を進めてみてはいかがでしょうか」（根岸氏）