Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

ハイブリッド環境における攻撃者の初期アクセス方法

2025年11月12日
Lucie Cardiet
サイバー脅威リサーチマネージャー
ハイブリッド環境における攻撃者の初期アクセス方法

セキュリティチームやレッドチームは、複雑なプレイブックや精巧なキルチェーンを使って脅威シミュレーションに取り組むことが多い。しかし実際には、攻撃者にそこまでの精巧さは必要ない。私たちが日常的に目にするのは、侵入がいかに単純であるかということだ。現実世界での侵入は、スクリプト化されたシーケンスに従うことはほとんどなく、脆弱な設定、漏えいした認証情報、監視されていないアクセス・ポイントなど、危険性の低いものを悪用する

最初のアクセスは、侵入における最も単純で効果的なステップであることに変わりはない。攻撃者がどのように最初のチャンスをつかむかを理解することが、予防のためのチェックリストと真のレジリエンスを分けるのである。

イニシャル・アクセスの現代的現実

あなたの環境はもはや単一の境界ではありません。データセンター、クラウドプラットフォーム、SaaSアプリ、そしてリモートエンドポイントが相互接続された網の目のように安全性を確保しているのだ。これらのそれぞれが入口であり、敵はそれを知っています。

最初のアクセスは、通常2つの経路のどちらかで行われる:

  1. 技術的悪用: パッチが適用されていない脆弱性、公開されたサービス、または誤った設定の資産。
  2. ID ベースの侵害:盗まれた、または悪用された認証情報、情報窃盗犯、SIM 交換、または悪意のあるフェデレーション設定。
アクセスの2つの経路:技術的脆弱性とIDベースの侵害

攻撃者は必ずしも高度なmalware ゼロデイを必要としているわけではない。多くの場合、彼らは認証情報、トークン、あるいはVPNキーがオンラインで売られていることに気づく。初回アクセス・ブローカー」が検証された組織への足がかりを取引する地下市場全体が存在し、脅威行為者は侵入のための大変な作業を省略して、あなたの環境に直接飛び込むことがこれまで以上に容易になっています。

現実世界のプレイブック攻撃者の手口

攻撃者は有効なものを再利用します。SOCチームが認識すべき一般的なシナリオをいくつか紹介しよう:

1.機会的な誤設定

DCヘルスリンクは、私にとって最大のハッキングのひとつだった。 ハックですらなかった.公開されていたんだ。複雑なことは何もなく、ただ公開されたバケツだった。完全にオープンだった。
- インテルブローカー

俳優たちはこんな検索エンジンを使っている SHODAN のような検索エンジンを利用し、一般に公開されているデータストアや設定ミスのあるクラウドサービスをスキャンする。いったん見つかると、脆弱なアクセス許可や流出したアクセスキーを悪用して、そもそも見えるはずのない資産をコントロールする。

初段の検索画面

2.サプライチェーンの近道

雪片事件 スノーフレーク事件 は、増大するリスクを浮き彫りにした。攻撃者は、企業データに到達するために、コモディティ情報窃盗団によって収穫された盗まれた請負業者の認証情報を使用するのだ。たとえ防御が強固であっても、パートナーのノートパソコンが最も弱いリンクになる可能性があります。

私はスピアフィッシングやスピアミッシングで自宅の従業員をスパイし、彼らの仕事用のラップトップを使う。そうやってMSPをハックするんだ。配偶者をハックすることもあるが、その方が簡単だ。
- Ellyel8*

もう一つの例は、最近の NPMサプライチェーン・エクスプロイト毒化されたパッケージが悪意のあるコードを開発環境に直接注入した。注入されたペイロードは当初、暗号通貨取引を標的としていたが、すぐに自己複製型worm変化し、現在では"Shai-HuludShai-Hulud」として追跡されている。

3.IDハイジャックとSIMスワッピング

以下のようなグループ Scattered Spider などのグループが人間の信頼を悪用する。彼らはSMSフィッシングソーシャル・エンジニアリングを通じて従業員をターゲットにし、電話番号をクローンし、MFAトークンをリセットする。そこから、メールボックス・ルールと連携された信頼の悪用によって、持続性を持たせる。これらのグループはまた、従業員やインサイダーを「リクルート」 しようとし、彼らの認証情報を得るためにお金を払います。

Scattered Lapsus$ Hunters 、テレグラムで初期アクセス購入とインサイダー募集の広告を出す

4.国家ステルス

キャンペーン Volt Typhoon キャンペーンは、内蔵ツールと「土地で生活する」戦術に依存している。.レジストリのハイブをキャプチャし、ログを消去し、PowerShellを使用して合法的なトラフィックの中に潜み、ほとんどのエンドポイントベースの防御を回避します。

予防だけでは不十分な理由

予防的管理(MFA、パッチ、EDR)は不可欠だが、どれも完全ではない。エンドポイントは管理されず、認証情報は再利用され、ログは改ざんされる可能性がある。攻撃者はしばしばエージェントを無効にしたり、完全に回避したりする。一旦攻撃者が侵入すると、問題は次のようになる:攻撃者が次に何をするのか、あなたは見ることができますか?

GitHubにあるEDR Freezeツールのスクリーンショット

SOCチームは、エンドポイントやログの整合性だけに頼らない可視性を必要としている。そこでネットワークとアイデンティティの遠隔測定が必要になる。

効果的な検出とはどのようなものか

検知の中心は、シグネチャではなく、振る舞いであるべきだ。侵入を常に阻止することはできないが、実際の被害が発生する前に攻撃者の行動を特定することはできる。

以下はその基本原則である:

  • エージェントレスでの可視化: リモートデバイス、管理されていない資産、レガシーシステムなど、EDRが存在しない場所でもトラフィックを監視するセンサーを導入します。
  • アイデンティティ・コンテキスト:認証イベントをネットワーク・フローと関連付ける。新しい地域やデバイスからの正当なログインが検査されないままであってはならない。
  • 振る舞い分析:メールボックスルールの作成、権限の昇格、連携信頼の変更などのアクションを追跡します。
  • 証拠保全: パッシブ・パケット・キャプチャと攻撃者が改ざんできないネットワーク・テレメトリを使用する。
  • AIによるトリアージと優先順位付け:横方向の移動パターンやリスクの高い行動チェーンの検出を自動化します。

Vectra AIプラットフォームが検出を強化する方法

ベクトラ Vectra AIプラットフォームは、ネットワークとアイデンティティのレイヤーを横断してエージェントレスで検知し、攻撃者が回避できない可視性を提供します。オンプレミスからクラウド、SaaSまで、ハイブリッドトラフィックを継続的に分析し、ID行動と相関させて、クレデンシャルの乱用、トンネリング、特権の昇格などの脅威を検知 します。

AI主導 分析により、アラートのノイズを遮断し、真に重要な行動を浮き彫りにするため、SOCは迅速かつ自信を持って対応することができます。攻撃者が削除した可能性のあるログに依存する代わりに、お客様の環境で実際に何が起きているのかを持続的に把握することができます。

次のステップ

すべてのクレデンシャルやパートナーのラップトップをコントロールすることはできないが、攻撃者の行動を見る能力をコントロールすることはできる。

エージェントレス検知によって、このような初期段階の侵入がどのように明らかになるかをご覧ください、 攻撃ラボの最初のセッション「初期アクセス」をご覧ください。をご覧いただき、「持続性」と「横方向への移動」に関する次のエピソードにご登録ください。または Vectra AIプラットフォームのセルフガイドデモのセルフガイド・デモをご覧いただき、ハイブリッド環境全体における攻撃者の行動をどのように検出するかをご確認ください。

---

*ヴィニー・トロイア著『グレーゾーン』より引用:ダークウェブのデータ収集とOSINTの未来"

よくあるご質問(FAQ)