*本記事はNTT Ltd. 社のGTICチームが発行した2021 Global Threat Intelligence Monthly Threat Reportの抄訳です。
元記事:GTIC Monthly Threat Report November 2021
NTT GTICの紹介
NTTグローバル・スレット・インテリジェンス・センター(GTIC)は、従来の純粋な研究機関の枠を超えて、脅威や脆弱性の研究を行い、それを検知技術の開発と組み合わせることで、応用的な脅威に関するインサイトを生み出しています。GTICの使命は、高度な脅威研究とセキュリティ・インテリジェンスを提供することで、NTTがサイバー脅威を予防、検知、対応できるようにし、お客様を守ることです。
NTTの脅威研究は、世界中のインテリジェンス能力とリソースを活用し、様々な脅威の主体、悪用ツール、マルウェア、そして攻撃者が使用する技術、戦術、手順(TTP)についての理解と洞察を得ることに重点を置いています。
攻撃者の理解が武器になります
Office 365メールボックスへの攻撃 – 予防と検知のガイドライン
メールボックス攻撃の特定には課題がないわけではありません。リモートでの作業では、コントロールが不十分なため、組織がDNSやWebのアクティビティを可視化することができません。このような攻撃を検知・防止する方法を理解するための最初のステップは、単にメールボックスの認証情報を管理するだけではなく、攻撃者が取る可能性のあるアクションについての理解を深めることです。
侵害後のアクション
追加の偵察 – 攻撃に成功した攻撃者は、追加の偵察を行います。これには、連絡先の特定、共有されているアクセス権限、事前に知らされていない場合は被害者の社内での役割などが含まれます。また、攻撃者はメールボックスをダンプし、自分のローカルマシンで読み取り、検索します。
新たに盗んだ連絡先に対するフィッシングの実行 – 最初のメールボックスに攻撃者が探している「価値」がなければ、そのメールボックスから連絡先の情報を摂取し続け、追加のユーザーをターゲットにしてプロセスを繰り返します。
e-Discovery – 攻撃者は、メールボックス上でe-Discoveryツールを実行し、特定のキーワードを検索することがよくあります。
メールの送信 – 攻撃者は、ユーザーになりすまして、同僚やパートナー、顧客に標的となるメールを定期的に送信します。侵害されたアカウントからメールに返信すると、企業環境の外で攻撃者とのコミュニケーションが始まります。
防止策
セキュリティ意識とトレーニング – 効果的なセキュリティ意識とトレーニングは、フィッシング攻撃に打ち勝つための基本的なステップであり、ひいてはメールボックス攻撃を未然に防ぐことにつながります。
スパムや悪意のあるメールのブロック– スパムフィルターは、攻撃者が認証情報を取得する前にフィッシングメールを防ぐのに役立ちます。
検知
認証情報を取得しようとする行為を検知 – Webトラフィックデータを継続的に確認することで、疑わしいサイトへの接続を特定し、侵害された可能性のあるアカウントを識別することができます。
メールボックスと統合ログの監査 – 企業は、メールボックスの監査ログを継続的に確認し、異常を探す必要があります。
図2は、複数のクライアントIPアドレスから短期間に複数回アクセスされた1人のユーザーのメールボックスの詳細を示しています。これは、攻撃者が様々なエンドポイントを使用してメールボックスにアクセスしたことを示しており、侵害の可能性が高いことを示しています。
メール転送ルールの継続的な見直し – Exchangeオンラインアカウントの侵害に成功した攻撃者は、すべての送信メールのコピーを転送するルールを作成することがよくあります。そのため、Office365のすべてのメール転送ルールを見直し、照合します。これは、攻撃者の行動を修正するのに役立つだけでなく、日常的な脅威の検知にもなります。
MailItemsAccessed監査記録の確認 – 組織は通常、攻撃者がアクセスしたメッセージを特定するために、侵害発生後にMailItemsAccessedレコードを確認します。また、同じ監査を実行して、不正アクセスの可能性がある機密アカウントをチェックすることもできます。
その他の予防策
多要素認証の導入 – 電子メールなどのインターネット上のサービスで多要素認証を有効にすることは、強力な予防策となります。
侵害の兆候をブロックする – 攻撃者のIPアドレスや既知の悪意のあるIPアドレスを特定できたら、そのIPアドレスをブロックし、他の攻撃被害者を探します。
パスワードポリシーの見直し – 強力なパスワード・ポリシーは重要ですが、認証が単一要素のみの場合には重要となります。パスワードの更新期間が90日の場合、攻撃者はその期間中、侵害されたアカウントを使ってビジネスデータにアクセスできる可能性があります。
ユーザーの教育 – 当社のインシデント調査では、複数のユーザーが、隔離されていたフィッシングメールを取得して行動していました。
攻撃の検証と修正 – 組織が侵害を検出したら、侵害されたすべてのアカウントをレビューして修復します。組織は、あらゆる侵害を適切な法律、法執行機関、およびコンプライアンス機関に報告し、侵害の指標をコミュニティと共有することを検討する必要があります。
まとめ
残念ながら、電子メールの侵害は、熱心な攻撃者にとって特に難しいものではありません。その上、電子メールの漏洩の防止、検出、回復するための包括的なソリューションは複雑なものとなります。
知識の共有が鍵を握るー進み続けるサイバーセキュリティと社会の変化
OTを保護するためのアプローチにおける今後のシフト
ここ数年、運用技術(OT)や産業用制御システム(ICS)のセキュリティを確保するための要件のほとんどをOTチームが推進してきました。OTチームは、安全に技術革新を続ける必要性を理解していました。マルウェアやその他の脅威によって引き起こされる中断は、非常に大きなコストになります。
このような会話の初期段階では、最新のサイバーセキュリティリスクにさらされたことのないOTチームが主導することが多かったのです。成功させるためには、OTネットワークにサイバーセキュリティのリスクがあることをOT関係者に証明する必要がありました。
起こっていること
ここ数カ月の間に、プロセスとアプローチに変化がありました。既存のサイバーセキュリティチームとより広範なITチームが、OTの実装と管理により深く関与するようになっています。
なぜこのようなことが起きているのか
サイバーセキュリティの管理がOTからITへと移行することは、多くの理由から避けられませんでした。
- 多くの場合、スイッチ、VLAN、物理的なケーブル配線、さらにはIPアドレスなどのOT環境のネットワークインフラストラクチャはITによって管理されてきました。OTのためのサイバーセキュリティは、ITチームのポートフォリオと責任に自然に追加されただけでした。
- IT部門の既存の技術スキルとサポート。OTのネットワークを保護するために使用される技術は、サイバーセキュリティにとって必ずしも新しいものではありません。
- OTチームは、生産要件を満たすためのエンジニアリングに集中する必要があります。IT組織は、OTチームが必要とするインフラストラクチャを計画し、サポートする準備ができています。
- OTは特に分析用により多くのIT関連機器を使用しています。
これが意味するもの
私たちは、このIT/OT融合のトレンドが続くと予想しています。その結果、主に2つの効果が期待できます。
- OTのサイバーセキュリティは、ITとの整合性が高まる。しかし、OT関連のサイバーセキュリティは進化し続けるでしょう。
- ITチームとOTチームがより協力し合うことが求められるようになります。
どう備えるか
サイバーセキュリティには大きな進化があります。エンドポイントセキュリティは非常に重要であり、クラウドの導入も加速しています。組織が準備できる分野はいくつかあります。
- OTネットワークのITおよびインターネットへの接続。OTネットワークをITや外部ネットワークに接続したいという要望が高まっています。
- リモートアクセスの需要。多くのITチームや組織がリモートワークをサポートしています。
- 変化の割合の増加。OTネットワークの変化はめったに起こらない傾向にあり、通常は予測可能です。しかし、インダストリー4.0や5.0では、変化はより頻繁に起こり、必要になるのではないでしょうか?
- IT技術の継続的な進化。OTネットワークは、これらの進化に伴う機械学習、超高速5Gネットワーク、クラウド提供サービス、増え続けるサイバーセキュリティ要件をどのように利用し、採用していくのでしょうか?
ITチームはOTを保護するために何ができるのでしょうか?
私たちが観測した傾向は、OTネットワークのセキュリティを確保するために、より多くのサポートが必要であることを示しています。最初のステップは常にこうあるべきです:
- 経営陣もIT部門も、OTネットワークには限界があることの理解が必要です。
- IT部門は、OTチームが引き続きOTネットワークとプロセスを所有することの意識が必要です。
- OTチームは、サイバーセキュリティの支援が必要です。
東京2020のサイバーセキュリティ – 金メダルを目指して
日本は9月5日、東京2020オリンピック・パラリンピック競技大会を成功で終え、大会期間中、サイバーセキュリティ攻撃による業務への大きな支障はありませんでした。オリンピックがサイバー攻撃から無傷で終わったわけではありませんが、敵対的な活動のほとんどは軽微なサイバー犯罪の試みとして現れました。例えば、サイバー犯罪者は、聖火リレーの放送を装った複数のフィッシングサイトを作成して被害者の個人情報やクレジットカード情報を盗み出そうとしました。幸いなことに、情報源からの報告では、被害はないとのことです。
日本政府は「セキュリティ調整センター」を運営し、サイバー攻撃、自然災害、テロなどの情報を政府、東京2020組織委員会、その他の関係者との間で共有していました。
また、東京2020は、デジタルトランスフォーメーションとセキュリティのためのさまざまな技術を紹介しました。インテルは、7月に行われた2020年夏季オリンピックの開会式の日に、オリンピックスタジアムの上空で1,825機のドローンによる光のショーを提供しました。ALSOKは、人工知能による画像認識技術を搭載したドローンや警備ロボットを提供し、東京2020の安全を確保しました。NECは、東京2020のスタジアムに入場する人をスキャンするための顔認証システムを提供しました。これは、オリンピック・パラリンピック史上初めてのことです。
日本はサイバーセキュリティで金メダルを勝ち取りました。今大会の教訓をまとめて2024年パリ大会、2028年ロサンゼルス大会など、他の主要な国際大会と共有する必要があります。
オリンピック・パラリンピックは複雑なグローバルイベントです。日本のデジタルトランスフォーメーション、サイバーセキュリティ、国際連携のノウハウは金メダルと称されており、これらの経験は今、強く求められています。
NTT Com DDが提供するセキュリティソリューション
