コメントサイバー攻撃の実行はかつてないほど容易になりました。今では、面倒な作業をすべてこなしてくれる既製のツールやサービスが数多く存在します。あとは、自分に合ったアプローチとツールを選ぶだけです。
「これは私が以前作ったものです」というコードを備えたサービスとしてのランサムウェア、既知の脆弱性を持つ接続インターフェースを表示する検索エンジン、そして目の肥えたスクリプトキディ向けにダウンロード可能で使いやすいスキャンツールなどがあります。
そもそも、脆弱なシステムを見つけるのに時間と労力を要するツールをわざわざ使う必要があるでしょうか? 認証情報を盗んで正面玄関からログインすればいいのではないでしょうか?
Troy Hunt氏のサイト「Have I Been Pwned?」を使えば、ここ数年で盗まれた約54億セットの認証情報と自分のユーザーIDを照合できます。なんと54億セット。侵害を受けたサイトが閉鎖され、ユーザーがログイン情報を削除し、さらに多くの人がパスワードを変更しているため、認証情報の大部分はもう使えなくなっていると期待されますが、54億セットの認証情報の中には、今でも有効なものも少なくありません。
ハント氏のプロジェクトと並行して、大量の認証情報が盗まれ続けている。あるセキュリティベンダーは、2016年には1日あたり800万件の認証情報が盗まれたと推定している。「まさかこんなことを言うとは思わなかっただろう」と少し疑ってみても、これはかなりの数だ。
脅威の検出になぜ時間がかかるのでしょうか?
目に見えないものは検知できません。例えば、従業員の一人がフィッシング詐欺に引っかかったと想像してみてください。どうすればわかるでしょうか?
適切なトレーニングを受ければ、多くの攻撃者が告白するでしょう。彼らは認証情報を渡してしまったことに気づき、セキュリティチームやITチームに連絡し、パスワードの変更を手伝ってもらい、不正アクセスを防いでくれるでしょう。もちろん、認証情報を渡したことがきっかけで自動攻撃が開始され、既に攻撃を受けている場合は別ですが。
脅威は検知できたのでしょうか?昨今のフィッシングは、簡単に見分けられる疑わしいドメインを悪用する、いわば数字を使ったゲームなので、確かに検知できたと言えるでしょう。とはいえ、フィッシングメールが成功し、あなたがクリーンアップ作業に追われるケースも依然として存在します。
恥ずかしい思いをしよう:メール詐欺の被害に遭った従業員は上司に報告しない
続きを読む
しかし、業界は「行動」に注目し始めています。この文脈では、AIベースの監視ツールが議論されています。これは、ネットワーク、ユーザーのPC、サーバーを監視し、人やアプリケーションの行動を把握し、異常な行動を監視するシステムです。
今では、そのようなツールを使わずに異常な行動を特定することが可能になりました。クラウドサービスのログイン元を記録し、仮想的な不正行為を検知するスクリプトを実行するのは簡単です。多くの場合、これはデフォルトで有効になっている、すぐに使えるサービスです。確かにAIツールの方がはるかに優れており効果的ですが、基本的な機能は無料の機能と簡単なスクリプトで実現できます。
ただし、よくあることですが、ユーザーがログ記録をオンにしていない場合、またはオンにしても結果を監視していない場合、このアプローチは失敗する可能性があります。
R3alC0mplexP4ssword44
つまり、あらゆる種類のシステムが攻撃に対して無防備なのです。なぜなら、それぞれのシステムに共通する要素は、認証手段、パスワード、そして人間の存在だからです。
ユーザーがパスワードを漏洩したとします。パスワードは検出されませんでしたが、幸運にも自動攻撃に利用されることなく、データベースに隠されただけでした。ユーザーはパスワードを変更しました。
パスワードを何に変更したのでしょうか?全く違うものであってほしいですね。多くの場合、以前のパスワードはそれほど大きくは変わっていません。例えば、R3alC0mplexP4ssword43 というパスワードを使っていたなら、新しいパスワードは R3alC0mplexP4ssword44 になる可能性が高いでしょう。
短すぎるもの、複雑でないもの、または以前に使用したことがあるものを使用しないようにシステムを構成する必要があります。以前のものと十分に異なるものを使用しているかどうかを確認することは困難です。
それはシステムが安全だからです。システムはパスワードを平文で保存するのではなく、まずハッシュ化します。つまり、新しいパスワードと古いパスワードの類似性を確認するのは容易ではありません。できることは、新しいパスワードのバリエーションをいくつか用意し、それらをハッシュ化し、データベースと比較することだけです。しかし、データベースは網羅的とは言えず、攻撃者はパスワード変更機能に費やす数秒でシステムが試せるよりも多くの代替案をいつでも試すことができます。
重要なのは、侵害された認証情報は長期間保存されるということです。たとえすぐに変更したとしても、巧妙なヒューリスティックアルゴリズムによって、数ヶ月後、あるいは数年後に、そのパスワードを推測するために悪用される可能性があります。いわば時限爆弾ですが、その音は聞こえません。
システムを正しく構成していますか?
多要素認証を導入していないクラウドベースのメールシステムをご利用ですか?あなただけでなく、何千人ものユーザーが利用しているにもかかわらず、単要素認証の仕組みを安全に構成することは不可能です。パスワードをいくら複雑にしたり、好きなだけ頻繁に変更を強制したりしても、いずれ誰かが認証情報を漏洩し、ハッカーに侵入されてしまうでしょう。
そもそも、システムを正しく設定する方法を知っているだろうか?つい最近、クライアントのLANポートスキャンでSANコントローラを見つけた。Googleでデフォルトの「admin」と「root」のパスワードを教えてくれた。「admin」パスワードは使えなかった(明らかに変更されていた)が、「root」パスワードだとすぐにログインできた。なぜだろう?クライアントは「root」ログインの存在を知らなかったのだ。確かに、クライアントのLANにアクセスするにはオフィス内にいなければならなかったが、必ずしもそうではない。クライアントはMACアドレスのホワイトリスト化を行っていたが、私は自分のMacのLANカードを会議室のPCとして設定していた。
この状況はどれほど深刻なのでしょうか?Shodan.ioなどの検索エンジンは、デフォルトの認証情報が設定された脆弱なシステムの画面を次々と表示します。つまり、かなり深刻な状況です。
システムは他のシステムよりも影響を受けやすいですか?
リストの一番上:クラウド上のあらゆるもの、特にメール。標準的なクラウドベースのメールアプリケーションは、NATファイアウォールの背後にある企業LANに隠されたものよりも、デフォルトでアクセスしやすいです。
次に、必然的にWebに公開されるものについてです。世界に公開しなければならない場合、世界はそこに潜むセキュリティ上の欠陥を探り出すことができます。この状況で実行可能な攻撃の大部分は、侵害された認証情報ではなく、ソフトウェアの脆弱性を突くものですが、その数は膨大であるため、ここでは言及しません。
イベント管理キットは昨今、厳しい状況に陥っています。うまく活用すれば、事態は収拾がつきます。
続きを読む
それから「古い」もの。この攻撃源は、認証情報の漏洩ではなく、監視によってシステムにパッチが適用されなかったり、ベンダーのサポートロードマップから外れたりすることで発生する脆弱性から発生する可能性があります。
最後に、ネットワーク上のあらゆるもの。たとえ直接的に脆弱でなくても、インフラ内の他の何かを経由してアクセスし、信頼関係や、内部アプリケーションやデータベースへのログイン情報(もちろん、侵害された資格情報)を使ってLAN経由でアクセスされる可能性があります。
私たちに何ができるでしょうか?
まず、パスワードをできるだけ複雑にして、定期的に変更します。ユーザーにとっては面倒ですが、うまくいく妥協策も見つけています。最も重要なのは、ユーザーIDとパスワードだけで十分だという考えをやめることです。インターネットからアクセスできるものには、多要素認証が絶対に必要です。社員が多要素認証に慣れてきており、顔認証や指紋認証などのツールをデバイスに簡単に搭載できるようになった今、社内でも多要素認証を導入してみてはいかがでしょうか。
次に、ユーザーが詐欺に遭わないように、厳格かつ定期的なトレーニングを実施します。私は対面式の意識啓発トレーニングプログラムを実施してきましたが、その結果、ユーザーからの不審な活動の報告が倍増し、偶発的な侵害の件数が半減するという成果が明らかになりました。
最後に、愚かなミスはやめましょう。接続されたデバイスにデフォルトの認証情報が設定されていたり、不要なサービスが稼働していたりする場合は、厳しく叱責されるべきです。ソフトウェアとファームウェアをアップデートしていない場合は、厳しく叱責されるべきですが、これは別の問題です。技術者を適切に教育する必要があります。セキュリティ対策を知らないと、適切なセキュリティ対策は講じられません。
パスワードの再考
パスワードの盗難やシステムへの侵入を防げない場合、私たちには2つの選択肢があります。1つは、パスワードがそのような弱点にならないようにする方法を模索することです。
皮肉なことに、これを実現する最善の方法は、同じ状況にある他の人々とセキュリティに関する情報を共有することです。「通常」ではないアクティビティをフラグ付けするツールについて話したことを覚えていますか?AIに「通常」とは何かを教える最良の方法は、適切な機械モデルにデータを投入することです。この場合、データのソースは私たちのような企業や組織であるべきです。私たちの貢献は他の人々に役立つだけでなく、彼らの貢献は、誰かが私たちのユーザーの認証情報を再利用または悪用しようとしたときに私たちに警告を発するのにも役立ちます。
もう一つの選択肢は、ルールなどを用いて侵入の兆候(例えば、新しい場所や未知の場所からのユーザーアクセスなど)を検知し、自動アラートを追加するなど、監視を強化することです。また、より巧妙で隠れた不正行為を区別できるインテリジェンスを強化することも重要です。
監視とは、悪意のある人物を見つけるだけでなく、誰の ID が盗まれたかを特定することも意味します。
認証情報の漏洩は、実存的なリスクであり、現実的な脅威として顕在化します。ツールは進化を続けているため、私たちは自らを守ることができます。ITシステム内部のカチカチという音は、警鐘であると認識するだけで十分です。®
