CISA、多要素認証をバイパスするクラウド攻撃を警告

Data Center Cafe
2021.01.18
3,386 views

「Pass-the-cookie」は少なくとも1回の攻撃でクラウドアカウントを侵害するために使用される、とCISAは警告

米国のCybersecurity and Infrastructure Security Agency（CISA）が発行した警告文書によると、最近のクラウドサービスアカウントに対する一連の攻撃で、ハッカー（攻撃者）は少なくとも1つのケースで多要素認証（MFA）をバイパスすることができていたと報告しています。

セキュリティが無効に

「CISAは、最近成功したさまざまな組織のクラウドサービスに対するサイバー攻撃を認識している。攻撃者は、フィッシングやブルートフォースログインなどのさまざまな策略や手法を使い、クラウドセキュリティの弱点を悪用しようとした」このように当局は昨夜警告を通達しました。

同時に、CISAは組織の対応を支援するために、MITRE Adversarial Tactics、Techniques、あるいはCommon Knowledge（ATT＆CK）フレームワークに基づく分析レポートをリリースしました。

「これらの攻撃に関与するサイバー脅威アクターは、フィッシング、ブルートフォースログインの試み、場合によってはpass-the-cookie攻撃など、さまざまな策略や手法を使い、被害者の組織のクラウドセキュリティの弱点を悪用しようとした」と分析では警告しています。

Pass-the-cookie攻撃には、攻撃者が乗っ取ったPCのブラウザ上から認証クッキーを盗みだす行為が含まれます。これにより、攻撃者はさまざまな認証プロトコルをバイパスできます。これは、クッキーが、すべてのセキュリティ対策にパスした後に発行される最終的な認証トークンを具体化するためです。さらに、このようなクッキーは長期間存続する可能性があり、攻撃者に十分な時間と余裕を与えます。

当局はまた、攻撃者はそこで終わりにせず、最初に乗っ取ったアカウントを踏み台に同じ組織内の他のアカウントに対しフィッシング行為を行い、組織自身のホスティングサービスを使い、悪意のある添付ファイルをホストし、それらをより本物のように見せることで、さらに多くのアカウントの侵害を狙っていると警告しています。

「一つのケースだが、ある組織は企業内ネットワークへのアクセスに仮想プライベートネットワーク（VPN）を要求していなかった。ターミナルサーバはファイアウォール内に配置されていたが、リモートワーク体制を取っていたため、在宅ワーク中の従業員がリモートアクセスできるようターミナルサーバはポート80番を開けた状態で構成されていた。これは、組織のネットワークを脆弱にしていた。攻撃者は、ブルートフォース（総当たり）攻撃で不正侵入を試みた」とする分析を追加しています。

CISAは、セキュリティをさらに向上させるために、クラウド上でサービスを実行している組織に向けていくつかの推奨事項を発行しました。これらには、他の数多くの対策の中でも、次のものが含まれます。

組織のニーズに基づく条件付きアクセス（CA）ポリシーを実装する。
環境内で通常ネットワークアクティビティの基準値を確立する。
Active Directoryサインインログと統合監査ログ双方を定期的に確認し、異常なアクティビティがないかを確認する。
多要素認証 (MFA)を実装する。
ユーザが作成したメール転送ルールやアラートを定期的に確認するか、転送自体を制限する。

今回の通達は、昨年発生したSolarWindsに対するサプライチェーン攻撃を受けて発行されました。その攻撃は、ロシア政府が関連する活動とされており、多くの米国政府機関を潜在的に危険に晒しました。但しCISAは、今回の最新の通達は必ずしもSolarWinds攻撃の背後団体に関係しているものだけには限らないと付け加えています。

これは、ウィズコロナそしてアフターコロナの世界をナビゲートする手段として各組織が需要の急増にうまく対応する目的でクラウドの検討を進めている中、同時に発生した懸念と言えます。

Data Center Dynamics

原文はこちら