“Paying for the Privilege – How Initial Access Brokers are Selling Access from Under You“ June 12, 2023 by James Maude より
イニシャルアクセスブローカーとは何ですか?
サイバー犯罪者と聞くと、母親の家の暗い地下室でラップトップの前に座っている孤独な人物のイメージを思い浮かべることがありますが、昨今のサイバー犯罪者の実際の姿は大きく異なります。 これは大きな組織であり、他の業種と同様、合法かどうかは別として、エンドツーエンド攻撃を実行する単独の攻撃者による初期のころから、攻撃の特定の段階を担当する専門的な「サービスとしてのサイバー犯罪(cybercrime-as-a-service)」へと「事業」が進化するのを私たちは見てきました。
この分業された専門分野の好例は、イニシャルアクセス ブローカー(以降IAB、日本では初期アクセスブローカーともいわれる)です。IAB は、ネットワークまたはシステムへの初期アクセス用の情報を取得して、そのアクセス情報を最高入札者に売却することに重点を置いたサイバー脅威アクター です。 IABの戦術は、従来のスパム活動をはるかに超えており、さまざまなツール、技術、ソーシャルエンジニアリングを駆使してIDを侵害し、システムにアクセスし、多くの場合、その過程で企業が使用するようになった多要素認証を含む制御をバイパスします。
IABがシステムやネットワークへのアクセス情報を取得すると、ダークウェブのマーケットプレイスやサイバー犯罪者のネットワークを利用し最高額入札者にアクセス情報を売却します。 それは、手っ取り早く金を儲けようとするランサムウェア・ギャングである可能性もあれば、知的財産を収集したり、他の組織に目標を移すためにサプライ チェーン内の繋がりを危険にさらそうとする、より高度な攻撃者である可能性もあります。
このブログでは、IABがサイバー犯罪にどう影響を与えているか、その進化が見られる理由、より進化したサイバー犯罪から企業や組織はどう身を守れるかについてお話します。
IABはサイバー犯罪について状況変化に寄与しているのか?
サービスとしてのランサムウェア (RaaS)提供者を含むランサムウェア事業は、特にIABとの提携からの恩恵を受けています。 IABは、攻撃の開始の手間を合理化し軽減することで、ランサムウェアの運用をより迅速に、より大きな影響を与える支援になります。ターゲットを見つけてアクセスを取得するという困難な作業を外だしすることで、ランサムウェア活動グループ他の攻撃者は即座にアクセス手段を取得して、ファイルの暗号化を開始し、はるかに大規模な攻撃を開始できます。これはすべてIABのおかげです。
脅威行為者が IAB ビジネスに移行する原因は何ですか?
サイバー攻撃者が初期アクセス ブローカービジネスに移行する理由はいくつかありますが、主なものはスキルセットとリスクの 2つです。
1. スキルセット – IABモデルで脅威行為者が自身の強みを活かして利益を最適化可能
脅威行為者も自分の強みを最大限に発揮したいと考えています。したがって、企業ネットワークへの最初のアクセスを取得するのが得意で、そのための準備に投資をしている場合は、その領域だけに特化するのが理にかないます。自分の専門知識の範囲を超えて、横方向の移動を実行したり、ランサムウェアのペイロードを作成しようとしたりすると、検出される可能性が高くなり、フィッシングで獲得したアクセス手段が無駄になります。時間とリソースを集中させることでイノベーションが可能になります。これはまさにMFAバイパス技術やトークンハイジャック攻撃の最新の波の中で見られたものです。
2. リスク – IAB は後の段階の攻撃のリスクなしに利益をあげられる
サイバー犯罪マーケットプレイスでの初期アクセス手段を、ランサムウェアなどを専門とする他の攻撃者に直接販売することでリスクを軽減できます。自分が最も得意とすることに集中し、後の攻撃段階で検出されるリスクを初期アクセスを買う顧客に廻すことができます。1つの著名な組織に身代金を要求するより報酬は低いかもしれませんが、信頼できる安定した収益が得られてサイバー犯罪経済の基盤を形成します。
初期アクセスブローカーが活動する市場は、より一層、法執行機関の標的になっています。 最近、盗まれたアカウントとアクセスを購入するための主要なマーケットプレイスの1つである Genesis Market が、”Operation Cookie Monster”により押収されました。これは、Hydra Market、BreachForums、および Hive ランサムウェアグループの壊滅のため、最近の一連の法執行活動に続くものです。 これらはすべて防犯面で前進になる措置ではありますが、ブローカーが盗んだアクセスを単に他の場所に販売することを防ぐことはできません。
IABが最も多く販売しているネットワークアクセス手段は何か
IABには多くの選択肢がありますが、IABはほとんどの場合、次のアクセスパスを通じたネットワークへのアクセス手段の取得と販売をします。
- 最新のクラウドおよびハイブリッド ID – Microsoft 365 またはシングル サインオン (SSO) アカウントが一般的なターゲットであり、攻撃者がクラウド経由でメールや企業データに直接アクセスできるようになります。これらの非常に貴重なアカウントは、IDP およびSSOプロバイダーの信頼関係で、さまざまなオンプレミスおよびクラウドのリソースにアクセスするために使用される場合があります。
- リモートデスクトッププロトコル (RDP) – サイバー脅威攻撃者は、スキャンツール (Shodanなど) を使用して、インターネットで開いているRDPポートを持つネットワークを探し、ブルートフォース、クレデンシャルスタッフィング、その他の攻撃手法を使用して脆弱なRDPインスタンスにアクセスします。
- 仮想プライベートネットワーク (VPN) テクノロジー – IABは一般的なVPNサービスの、侵害されたIDや脆弱性を悪用し、ネットワーク アクセス手段を取得して、その後販売する可能性があります。
企業や組織はIABについて心配する必要はあるか?
IABマーケットプレイスで販売されているIDとアクセスを実際に見ると、問題の規模を理解し始めることになります。販売されているのは、データ侵害でより詐取された認証情報だけではなく、デバイスの指紋、ブラウザのCookie、RDPやVPNアクセスも含まれています。これらを使用すると、アクセスするユーザーを、正当なユーザーとしてネットワークに直接参加させたり、攻撃者が適切な地理情報と適切なデバイスを持っており、すでに多要素認証 (MFA) を使用して認証されているように見せることによって、一般的なセキュリティ制御をバイパスすることもできます。 SaaS アプリケーション、シングルサインオン、Office 365 の普及を考えると、多くの場合、企業のラップトップでコードを実行せずとも企業データにアクセスが可能になります。
初期アクセスブローカーを阻止する主な方法は何ですか?
初期アクセスブローカーが自社の企業ネットワークに足場を築き、最高入札者にアクセスを販売するのをどのように防げるのでしょうか。ここでは、ネットワークを防御して、攻撃者のビジネス計画を阻止するのに役立つ上位4つの戦略を紹介します。
1. 最小限の権限でリスクを軽減
ユーザー資格情報の1つが侵害された場合、またはユーザーが自分のデバイスでフィッシングメールを開いた場合、そのユーザーが業務を遂行するために、可能な限り最小限の権限で実行していることを確認する必要があります。管理者権限を持つユーザーやシステムへの過剰なアクセスは、初期アクセス ブローカーが横方向の移動、資格情報の盗難、特権の昇格の理想的な出発点にアクセス可能になるため、主なターゲットとなります。
2. MFAの使用、ただしMFAだけを使用するわけではありません
多要素認証(MFA)は、認証情報の盗難や認証情報スタッフィング攻撃を防ぐための便利なツールです。 ただしMFAだけでは絶対確実というわけではありません。プッシュ通知やSMSコードのSIMジャッキングを伴うMFA疲弊攻撃で、基本的なMFAのセキュリティ上の弱点が明らかになりました。 したがって、Fast Identity Online (FIDO2)は、セキュリティ管理の必要性がより高まっています。MFAとは異なり、FIDO2 はローカル認証と非対称公開キー暗号化の使用で、分散型認証を導入してセキュリティを向上させ、MFA疲労やその他の攻撃に対抗します。
3. VPNやRDPではなく、アクセスを許可します。
多くの場合、ユーザーは VPNアクセスやRDPの使用を回避できるため、可能な限りこれらを削除し、制御された監査可能な方法で必要なシステムのみにユーザーがアクセスできるようにします。 多くの侵害では、攻撃者はフラットネットワークや脆弱な公開RDPサーバーへのVPN アクセスを悪用して足場を築いてシステム内を迅速に移動します。これは個人のデバイスや管理対象外のデバイスからのアクセスが必要なサードパーティを扱う場合に特に重要です。
4. 仕事中に誰が居眠りしているかを調べる
デフォルトや休眠、孤立したアカウントは多くの場合、初期アクセスブローカーにとっての「親友」です。これらのようなアカウントは、事前にプロビジョニング済みの、彼らにとって使い頃なIDを提供し、侵入者が簡単に溶け込めるようにします。
休止アカウントには何段階かの権限があり、人間以外のアイデンティティに関連付けられたマシンアカウントの場合もあります。これらのアカウントは、少なくとも検知して、有効な管理下に置く必要があります。理想的には、これらは業務上の利益を伴わないリスクだけである可能性が高いのでクリーンアップする必要があります。
一部の攻撃者が適用する手法の1つは、MFAにまだ登録されていない休眠アカウントを探し、クレデンシャルスタッフィングと自己登録MFAプロセスを使用して独自のデバイスをセットアップすることです。これにより、MFA が使えるようになった有効なアカウントにアクセスできるようになり、VPNやその他のサービスにアクセスできるようになります。
IAB は懸念の元だがセキュリティの基本は変わらない
IABに対する懸念は増大していますが、IABがもたらす脅威は基本的に他の攻撃と変わりません。ほとんどの組織にとっての最大の懸念は、自社が侵害されているだけでなく、システムへのアクセスがオークションで最高額入札者に競り落とされていることにも気づいてもいないことです。
IABやその他の脅威に対抗するには、環境内のID、権限、アクセスを積極的に管理するだけでなく、ID脅威の検出と対応 (ITDR)アプローチを検討することも重要です。特権アクセス管理 (PAM)は侵害のリスクを軽減して、攻撃者が損害を与える能力を軽減します。ITDRはこれに基づいて、脅威インテリジェンス、ベストプラクティス、ツール、プロセスを組み合わせて、疑わしい動作の変化や操作が発生したときに検出、調査、対応することで、さらにユーザーのアイデンティティを保護します。
ネットワーク内の権限、アクセス、および ID を管理する方法の詳細については、ここをクリックしてください。
James Maude、主任サイバーセキュリティ研究者
James Maudeは、BeyondTrustの英国マンチェスターオフィスのサイバーセキュリティ主任研究者です。James はセキュリティ研究において幅広い経験を持ち、進化するセキュリティ環境における攻撃ベクトルと傾向を特定するために、マルウェアとサイバー脅威の詳細な分析を行っています。 フォレンジックコンピューティングのバックグラウンドと、セキュリティリサーチコミュニティへの積極的な関与でサイバーセキュリティの専門家としての発信をしています。彼は定期的に国際イベントに出席して、ウェビナーを通して脅威と防御戦略について議論しています。