アクセス管理会社BeyondTrustは、組織に対しユーザーから管理者権限を削除するよう促し、そうすれば昨年少なくともMicrosoft製品の100件以上の脆弱性が軽減されたはずだと主張している。
権限制限は情報セキュリティの基本です。Microsoftがここで説明しているように、権限制限は個人が行える損害や変更の範囲を制限するものであり、特にアカウントが乗っ取られた場合に有効です。しかしながら、例えば、社内から圧力を受けて管理者権限を付与し、扱いにくいソフトウェアの導入作業を継続させている企業や団体も存在します。
BeyondTrust は特権アクセスを管理するツールを販売しており、この点で明らかに商業的利益を得ています。同社は、過重労働の IT サポート デスクで、ユーザーが何かにアクセスする必要があるたびに新しいチケットを発行するのを防ぐために、ユーザーにタスクを実行するための長期的な特別権限を付与する例を挙げています。
米国の企業がこれを取り上げたのは、2020年にマイクロソフトの製品とサービスで修正されたCVEリストのバグ1,268件を分析し、今週発表したレポートで、深刻度が「緊急」と評価された196件の脆弱性の半分以上(正確には109件)の悪用は、ユーザーから管理者権限を削除することで軽減できた可能性があると結論付けたからだ。
あなたは管理者です!あなたは管理者です!このMicrosoft Exchangeのゼロデイ脆弱性とエクスプロイトのおかげで、あなたは全員管理者です
2019年から
興味深いことに、業界関係者は、Microsoftのソフトウェアにおける権限昇格のバグ修正数が2020年に前年比で増加したと指摘しています。これは管理者レベルのアクセスの価値を浮き彫りにしていると言われています。リモートコード実行の取得だけでは不十分で、特権アクセスも望ましいということです。そのため、ユーザーの管理者権限の削減がさらに重要になります。Microsoftが権限昇格の抑制に取り組んでいるのであれば、それに倣い、管理者レベルの権限を不必要に付与しないことで、悪意のあるユーザーの活動を困難にするのは当然のことでしょう。
しかし、Kenna Securityの2月の調査結果によると、2019年に発見されたCVEリストのバグのうち、実際に悪用されたのはわずか2.6%だったことを忘れてはなりません。つまり、ユーザーから管理者権限を剥奪することで、脆弱性のX%の悪用を制限できたとしても、現実世界ではそれらの脆弱性が悪用される確率は極めて低いということです。
しかし、前述の指摘は変わりません。管理者レベルの制御を制限することは良いことです。BeyondTrustのCTO、モリー・ハーバー氏がEl Regに述べたように、「なぜ個人、あるいは組織が、ユーザーに管理者権限でインターネットを閲覧することを許可するのでしょうか?」
文字通り、組織がパッチを適用し、機会を狙った攻撃からの脅威を軽減するための時間を稼ぐだけだ。
ハーバー氏は、ユーザーの管理者権限を剥奪することが適切なセキュリティ対策への近道ではないことを強調した。「管理者権限を剥奪することで、Microsoftの様々な脆弱性による脅威は軽減されますが、恒久的な解決策ではありません。文字通り、組織がパッチ適用のための時間を稼ぎ、便乗攻撃による脅威を軽減するだけです。結局のところ、パッチ適用こそが唯一の恒久的な解決策なのです。」
3月に入り、Hafniumグループが脆弱な環境を狙った事件を受けて、Microsoftをはじめとする情報セキュリティ業界全体が、Exchange Serverのセキュリティ上の脆弱性に対するパッチ適用を組織に強く求めてきました。今週、スロバキアの情報セキュリティ企業ESETは、国家支援と思われる6つのグループが、パッチが公開される前に、ゼロデイ脆弱性を悪用して被害者に侵入しようとしていたという警告を発表しました。
マイクロソフトは、オンプレミスの Exchange を導入している組織を対象に、「ワンクリック」緩和ツールと称するツールもリリースしており、「この新しいツールは、パッチ/更新プロセスに馴染みのない、またはオンプレミスの Exchange セキュリティ更新をまだ適用していない顧客向けの暫定的な緩和策として設計されています。」と述べています。®
