｢特権ID｣管理不足がもたらす企業の甚大な被害 事例に学ぶ､組織内外からの攻撃に備える方法

ここから得られる教訓として、共有型特権アカウントを利用する際のアクセス許可を厳格化することに加え、特権アカウントを利用したアクセス履歴の監査を強化したり、リモートアクセスで使うユーザーID・パスワードの保護を強化したりなどといった対策の重要性がうかがえます。

組織外部からの攻撃も、入り口はユーザーIDの侵害から

ここからは、「組織外部からの攻撃」について考えます。外部の攻撃者の動機は、主に「金銭的な利益追求」「情報収集・スパイ活動」「政治的・社会的な動機」「技術的な挑戦や名声の追求」「個人的報復や業務妨害」「社会への不満」「軍事的な目的」などです。

悪意を持った外部攻撃者は、高度な攻撃テクニックや、昨今広がっているサイバー犯罪のサービスモデル（Cyber-crime as a Service）を利用して、企業・組織の貴重な資産（データなど）にアクセスしようとします。近年の攻撃手法は高度化していますが、まずは企業・組織への侵入口として、フィッシング攻撃やソーシャルエンジニアリング攻撃などを通じて、ユーザーが利用しているIDを侵害しようとするのです。

攻撃者は利用者のユーザーIDを侵害した後、社内ネットワーク内の資産に垂直方向・水平方向に移動して侵入や攻撃を行い、より高度なアクセス権限を得る権限昇格を繰り返し行います。そして最終的に、目標とするシステムの特権IDを入手して、ランサムウェア攻撃など実際の攻撃行動に移ります。

実際の事例を見ていきましょう。

これは昨年発生した、アメリカの大手Integrated Resort（IR）事業者の例です。攻撃者はまず、ソーシャルエンジニアリング攻撃で、高い権限を持つユーザーのID・パスワードを入手しました。さらに、当該ユーザーのSNSプロフィールから得た情報を利用してヘルプデスクをだまし、MFA（多要素認証）をリセットして、当該ユーザーのIDを侵害することに成功しました。

その後、攻撃者は当該ユーザーになりすまして機密情報を盗み出したうえ、さらにランサムウェア攻撃によって数百台のサーバーを暗号化し、IR事業者の業務を停止に追い込んで、数億ドルの損害を与えました。

近年はクラウドサービスの台頭によって、企業・組織のユーザーが、ブラウザ上のWebアプリケーション（Webアプリ）経由で貴重な情報資産にアクセスするケースも増えています。最近の新たな攻撃手法としては、Webアプリにアクセスする際にブラウザが利用する、端末に保存されたCookie（クッキー）情報を狙った「クッキーハイジャック攻撃」があります。