サイバーアタッカーは大儲け：狙われるのはもはやカジノだけではない理由とは

長年にわたり、ハッカーやサイバー犯罪者はソーシャルエンジニアリングのテクニックを使って機密情報への不正アクセスを行ってきました。このような攻撃が今後も高度化し、頻度を増していくことは容易に予測できます。彼らが AIを使用してより巧妙な誘導 を仕掛けている場合でも、サイバー犯罪者が人間の心理の悪用する技術に長けている場合でも。こうした攻撃の成功は、攻撃者側の手口が有効であることを証明しています。例えば、ランサムウェアは急増しており、2021年には324,000件のフィッシングの試みがFBIに報告されています。

2023年はサイバー犯罪者にとっても成功の年となりそうです。近年ではホスピタリティ大手のMGMリゾーツとシーザーズ・エンターテインメントに対する攻撃があり、後者はシステムへのアクセスを取り戻すために1500万ドル以上を支払う事態になりました。

MGMは9月13日（水）、サイバーインシデントにより「過去3日間、全米のホテルが大きな混乱に見舞われた」と正式に 発表 しましたが、 以前の 報告によると、10日（日）から問題が発生し始めたようです。シーザーズは14日（木）に、9月7日にデータ侵害が発生したと発表しました。サイバー専門家たちはまだその詳細をつなぎ合わせている最中ですが、 Scattered Spider / UNC3944 / Oktapus / Scatter Swineという異なる名前で知られる脅威行為者たちが、ソーシャルエンジニアリングのテクニックを利用し最初の足掛かりを得たことは判明しています。

ソーシャルエンジニアリング攻撃の検知と防御は依然として容易ではありません。いったん成功すれば、攻撃者は組織のインサイダーとして使用するのに十分な認証情報を手に入れられます。マンディアント社 が共有した情報によると、攻撃者はソーシャルエンジニアリングのテクニックで最初の足がかりを作りました。シーザーズの場合、悪質業者はOktaからを装ってIT契約者に電話したことが確認されています。悪質業者は、いったん良い認証情報を与えると、システムをスキャンし、権限を昇格させる方法を見つけ、ランサムウェア攻撃を完了させました。この攻撃は特に目新しいテクニックを使ったわけではないが、適切なトレーニング、セキュリティの基本対策、ベストプラクティスに集中することの重要性を思い起こさせるものでした。

このような攻撃の前と最中に、組織ができることを探りましょう。

攻撃の前に先手を打つ

洗練されたソーシャルエンジニアリング攻撃では、予防が最良の選択肢ではないでしょうか。サイバーセキュリティを維持し、積極的な災害復旧／事業継続計画を立て、重要なデータの正確なバックアップを取ることで、万が一の際のリカバリーを大きく後押しできます。重要な点は、ユーザー、管理者、ヘルプデスクに対するセキュリティ意識向上トレーニングと、ソーシャルエンジニアリング攻撃を特定し、それに対抗するための計画を持つことです。しかし、 訓練だけでは不足です。この種の攻撃に対する脅威モデルを作成する際には「侵害されることを前提とする」という意識を企業として持つ必要があります。

さらに、エンドユーザーがソーシャルエンジニアリング攻撃の被害に遭った場合、組織がカバーできる手段は他にもあります：

• ファイアウォールポリシーを見直し、監視する

  • デフォルトの送信拒否ポリシーを作成し、必要なポートでのみ、既知の必要な宛先へのアクセスを明示的に許可します。ネットワーク上のすべてのシステムでこれが可能とは限りませんが、ドメインコントローラーやIDサーバーなどの重要な資産は、適切なファイアウォールポリシーを適用しトラフィックをプロファイリングする必要があります。

  • デフォルトの受信拒否ポリシーを作成し、インターネット上のパブリックIPからの受信トラフィックを明示的に許可し、必要なポートのみを許可します（可能であれば443以外のポートは避ける）。

  • プロトコル乱用や DNS トンネリングを検出するためにファイアウォールやプロキシを設定します

  • ネットワーク、マイクロまたはナノのセグメンテーションを構成して、被害の範囲を最小にします

• 特権ユーザーアカウントとサービスの管理

  • IAM やその他の重要なインフラストラクチャやシステムに管理者権限が必要な個人には個別の管理者アカウントを作成します

  • ワークステーション上の全ユーザーの管理者権限を削除し、エンドポイント権限マネージャソリューションを使用して、特定のプログラムの実行権限を「管理者」として昇格させます

  • 全ての管理アクションに対してユーザーアクセスコントロール (UAC) を有効にします

  • パスワード保管庫は最重要資産として扱う必要があります。誰がこれらのシステムにログインし、どのようなアクションが実行されるかを監視しましょう

  • ハイブリッド ID/機能を提供するエージェント（Entra ID Connect / Okta Connect など）を含むシステムも最重要資産として扱う必要があります。これらのシステムには認可された管理者だけがログインできるようにしてください。

• セキュリティチェックを定期的に実施する

  • 認証情報窃取型マルウェアへの対策としては、ネットワーク内で認証情報が保存されている場所――ファイル共有やクラウド情報リポジトリ、その他ネットワーク上の様々な領域――を監査することが重要です。Sumo LogicのThreat Labsチームは、こうした攻撃への防御策について、 Windows および Linux の両オペレーティングシステム向けに詳細に解説しています。

  • AnyDeskのようなリモート管理ツールのインストールを監視する – コマンドライン はこの点で非常に貴重なデータソースです。

  • 脅威アクターはクラウドリソースをデプロイすることが知られています。新しい Azure 仮想マシンがデプロイされたときなどの「基本的な」モニタリングは、ここで価値が見いだされます

• 積極的な監視を行う

  • セキュリティ制御を回避するために、脅威アクターが脆弱なシステムにドライバを導入することが確認されています。 クラウドSIEM は「初回検知（First Seen）」の ドライバーインストールや読み込みを監視するUEBA機能を提供しています。

  • 異常検知は認証シナリオにも適用でき、たとえば一定期間のベースライン以降にユーザーがこれまでにない 新しい地理的位置からシステムに認証した場合など、異常な認証パターンの検出が可能です。

  • 多要素認証の方法に変更があった場合は、その変更を対応するサービスデスクのチケットと突き合わせて関連付けて監視し、可能であれば、その操作を実施したユーザー本人に確認する自動化も作成してください。特にID管理システムの管理者権限を持つユーザーについては、この対応が重要です。

• 追加の戦術を採用する

  • 特にハイブリッド環境では、どのシステムが認証フローのどの部分を処理するかを特定するために、卓上で認証シナリオとフローを練習しましょう。

  • リスクの高い取引には写真付きIDやライブビデオによる確認を義務付け、信頼できる社内HRやバッジシステムと証拠を照合します。

あらゆるサイバー攻撃で出される4つの切り札

私自身の偏見は認めますが、SOC の中心は セキュリティ情報とイベント管理（SIEM）ソリューションであると確信しています。多くの組織が70以上ものセキュリティ・ツールを導入している一方で、 SIEM はセキュリティ体制を一元化します。このレンズを使って、攻撃時にセキュリティチームに必要なフォーカスを与えましょう。

システムおよびユーザーの行動分析は、エンドポイントやネットワーク上で事前に知られていない敵対的な行動を認識するための基礎となるものです。ログは、イベントとそれが技術システムに与える影響を反映したテキストデータを段階的に生成します。迅速かつ効率的な セキュリティログ分析 は、運用上のサイバーセキュリティにとって重要です。

サイバー攻撃の4つの段階に沿って支援のために必要なツールとプロセスの導入を確認します：

1. 検出 – エンドポイント、IAM、ネットワークトラフィックからのログを一箇所に集めて相関させ正規化してカスタムクエリを実行し、行動分析を進めます。

2. 封じ込め – 自動化技術を使用して、侵害されたエンドポイントまたはクラウドワークロードに対応し、封じ込めます。 プレイブックで練習してテストし、成功を証明しましょう。

3. 排除 – 感染したマルウェアを一掃し、接続されているシステムとIPアドレスを確認することで、攻撃の影響範囲や全体的な被害状況を特定します。

4. 復旧 – 最近のデータバックアップを使用して、侵害されたデバイスまたはシステムを復元し、事後分析を行います。

Sumo Logic クラウドSIEMを活用したセキュリティ対策

予防的コントロールと能動的な脅威ハンティングの間で、ソーシャルベースの攻撃とランサムウェアが最も対処が困難なものの一つであることは明らかです。 多くの組織が、検出方法を一元化し、異常な行動を監視する方法が必要だと話しています。もはや暗闇で懐中電灯ひとつに頼ることはできず、自分たちの努力を的確に照らし出すレンズが必要なのです。Sumo Logic Cloud SIEMはその灯台です。

Sumo Logic クラウドSIEM は、クラウド、ハイブリッドクラウド、オンプレミス環境全体のアラートを、900 を超す即時利用可のルールで自動的に取り込み、正規化、相関、分析、可視化します。特に、クラウドSIEMの外れ値ルールと初回検知ルールは以下のように使用できます：

• パスワードリセットの操作を監視する

• 誰も一度もアクセスしたことのないAPIを使用する

• 暗号化キーの変更を監視し、コピーを作る

• 特に Active Directory 、スーパーユーザー／管理者グループの追加を監視する（例：ドメイン管理者、フォレスト管理者、スキーマ管理者）

さらに、Sumo Logic クラウドSIEMは、セキュリティアナリストやSOCマネージャーに対し、企業全体にわたる可視性を強化し、攻撃の範囲や状況を徹底的に把握できるようにします。合理化されたワークフローがアラートを自動的に優先順位付けし、既知および未知の脅威を迅速に検出します。

顧客がSumo Logicを選ぶ理由は、これらの差別化されたSIEM機能にあります。

• ノイズを減らす

  • あなたのセキュリティチームは、重大な脅威への対応方針を統一する必要がありますか？Sumo LogicクラウドSIEMは、イベント管理とインタラクティブなヘッドアップディスプレイを組み合わせ、脅威インテリジェンスと分析を提供し、アラートに優先順位を付けます。

  • クラウドSIEMは、構造化データおよび非構造化データからの正規化されたレコードを解析、マッピング、作成し、検出された脅威を相互に関連付けて、ログイベントを削減します。

    MITRE ATT&CKフレームワークに準拠したインサイトエンジンを活用することで、アラート疲れ（alert fatigue）を軽減できます。適応型シグナルクラスタリングアルゴリズムにより、関連するシグナルを自動的にグループ化し、より迅速にアラートのトリアージを行います。集約されたリスクがしきい値を超えると、自動的にインサイトを生成し、本当に重要な脅威に集中できるよう支援します。

• ユーザー・エンティティ行動分析（UEBA）

  • SIEMの相関ルールだけでは不十分です。ユーザとエンティティの振る舞いに基づいて、潜在的なセキュリティ脅威を特定しましょう。クラウドSIEMのUEBA機能により、ユーザーとエンティティの基本動作からの逸脱をレポートし、リスクランクの配分、スマートなエンティティタイムラインで優先順位を付けられます。

• エンティティ関係グラフ

  • 脅威を単独で調査するのは困難です。エンティティ同士のつながりをパノラマ型の可視化で確認・探査することで、サイバー侵害の全体像や影響範囲を把握できます。関連するシグナルと分析情報を可視化すると、平均対応時間 (MTTR) を短縮できます。

• 組み込み型の自動化機能とプレイブック

  • 数百種類の既成のインテグレーションやプレイブックから選ぶことも、自分で作成することもできます。Sumo Logic クラウドSIEM Automation Serviceでは、インサイトの作成やクローズ時に、プレイブックを手動または自動で実行できます。

オールインする

繰り返しますが、これはサイバーセキュリティの衛生状態を維持し、重要なデータの正確なバックアップとともに、積極的なDR/BCプランを持つことを思い出させる良い注意点なのです。あらゆる規模の組織が、積極的なユーザー・セキュリティ意識向上プログラムを実施する（そして、ギャップがないか頻繁にテストし、改善の可能性がある領域を特定する）ことによって利益を得られます。しかし、すべてのセキュリティ・データを一元的に管理することで、脅威の可視性が向上し、チーム間の協力体制が強化されるというメリットもあります。組織は、誤検出アラートの増加を背景に、攻撃の指標を特定するために、ユーザーの異常な（そして潜在的に悪意のある）行動を検出する高度な分析を必要としています。

Sumo Logic クラウドSIEM でサイロを打破し、チームをまとめる包括的な可視化を実現します。詳しくは、クラウドSIEMをご覧ください。クラウド SIEM または デモをご依頼ください。