2023/04/05

サイバー犯罪者による企業ネットワークアクセス権の不正販売

2023 年 4 月 5 日 Carla Roncato 著

サイバー攻撃の成功の裏には、必ずと言っていいほど標的組織のネットワークへの事前アクセスがあります。組織への最初の侵入を可能にするサイバー犯罪者は、IAB(イニシャルアクセスブローカー)と呼ばれます。これらの攻撃者の暗躍により、企業ネットワークへのアクセスがかつてないほど容易になっています。

最近のニュースレポートによると、2021 年後半から 2022 年前半にかけて、不正フォーラムで企業ネットワークへのアクセス情報を提供していた犯罪グループのうち、わずか 5 つの集団による提供が約 25% を占めたといいます。これらのイニシャルアクセスブローカーは、VPN アカウントやリモートデスクトッププロトコル(RDP)アカウントの詳細、またそのほか世界 2,300 以上の組織のネットワークに侵入するために使用可能な認証情報を、これといった苦もなく提供しています。初期のアクセス情報購入にかかる平均価格は、約 2,800 米ドルです。

そして注目すべきは、この 5 つの集団は、非常に大規模で、急速に成長している市場をリードしているという事実です。

アクセス権不正販売マーケットの仕組み

IAB は、テールゲート攻撃、総当たり攻撃、パスワードスプレー攻撃などで物理的に組織へのアクセスを獲得した後に、フィッシング、パッチ未適用のソフトウェアの脆弱性の悪用、マルウェアをローカルにインストールするなどのソーシャルエンジニアリングを用いて認証情報を窃取してシステムにアクセスします。その後で、以下のいずれかの種類のアクセス情報を提供します。

  • アクティブディレクトリ(AD)
  • 仮想プライベートネットワーク(VPN)
  • ルートユーザ認証
  • Web シェルアクセス
  • リモート監視・管理(RMM)
  • リモートデスクトッププロトコル(RDP)
  • コントロールパネル

サービスごとの価格は、主に対象となる組織の種類によって異なります。価格設定に影響を与える要因は、業種から規模、従業員数、年間売上高まで多岐にわたります。また、組織の脆弱性レベルも考慮されており、販売されているアクセスの種類に加えて、IAB が最初のアクセスを得るためにかけた時間やリソースも表示されています。

Dark Reading の記事によると、IAB がリストアップしているアクセスの種類のうち 70% は、リモートデスクトッププロトコルと VPN アカウントの情報でした。47% は、侵害されたネットワークの管理者権限のアクセスに関する販売でした。同様に、どの種類の権限を取得したかを明記する広告文の 28% はドメイン管理者権限を謳い、23% は標準的な権限で、ルートアカウントへのアクセスを提供するものもわずかですか存在しています。

IAB が企業ネットワークへのアクセスを販売する不正フォーラムでは、投稿されたメッセージには詳細が記載されており、企業の情報、アクセス権獲得に使用した方法、このアクセス権限によってサイバー犯罪者が可能な攻撃行為など、購入希望者に多くの情報を提供しています。

不正アクセス権販売の被害者にならないためには?

このような「サービスとしてのサイバー犯罪者」から身を守るためには、組織のネットワークを保護し、その穴を塞ぐことができる統合型のセキュリティが必要です。このプロセスには、多要素認証(MFA)とエンドポイント保護という 2 つのソリューションが不可欠です。

多要素認証(MFA)

攻撃者は、ユーザ名とパスワードという従来の認証方式に依存するシステムを特に探しています。この方法はすでに旧式となっており、今日では保護の効果が極めて低いものです。この脆弱性を緩和するためには、多要素認証を導入する必要があります。ネットワークアクセスに追加の認証形式を要求することで、盗まれたユーザ認証情報が効力を失います。

ネットワークへのリモートアクセス、VPN 接続、電子メール、管理者アクセスには、特にこの保護レイヤーを導入することが重要です。

ウォッチガードの多要素認証ソリューションは、ユーザが自分の携帯電話から直接認証できることに加え、認証がユーザ自身の携帯電話から行われているかどうかを検証するモバイルデバイス DNA を使用して、さらなる保護を提供しています。

エンドポイント保護

WatchGuard EPDR ソリューションの Threat Hunting Service に含まれる RDP 保護は、総当たり攻撃を検出し、この種の攻撃に関与する外部サーバからの通信を防止することで、ハッカーによる RDP サーバ上の認証情報の窃盗を防止します。最善の防御は、攻撃を早い段階で阻止することであるため、ウォッチガードでは RDP 保護を常に有効にするよう推奨しています。

エンドポイントの継続的な監視は、未知のプロセスの実行を防ぐだけでなく、アクセスした攻撃者を明らかにするためのふるまい分析を可能にし、かつ APT 攻撃、ゼロデイマルウェア、ランサムウェア、フィッシング、ルートキット、メモリの脆弱性および非マルウェア攻撃からも保護する役割があります。

WatchGuard EPDR は、エンドポイントプロテクション(EPP)検知・レスポンス(EDR)を組み合わせているだけでなく、組織の保護に必要なパッチを発見して展開する脆弱性管理モジュールも提供しています。脆弱性は犯罪者が利用する最も一般的なエントリーポイントの 1 つであるため、これは非常に重要です。

またWatchGuard EPDR には、認証情報窃盗防止機能の他にも、盗まれた認証情報を使用したハッカーの水平移動を防止するエクスプロイト対策テクノロジも含まれており、パッチ適用管理の補完としても理想的です。

当社の記事 “Why endpoint security and MFA should always go hand in hand(英語)”(エンドポイントセキュリティに MFA が必須である理由) では、高度な脅威から企業を保護するために、これらのソリューションを利用すべき理由をさらに詳しく説明しています。では、高度な脅威から企業を保護するために、これらのソリューションを利用すべき理由をさらに詳しく説明しています。