このブログは元々SCメディアのバイラインとして紹介されたもので、許可を得てここに再掲載する。
2025 年 5 月、Black Basta ランサムウェア グループから漏洩した内部チャット ログにより、攻撃者が公開データを使用して企業のプロファイルを作成し、脆弱なインフラストラクチャを特定し、密かにアクセスを獲得した方法 (すべて単一の悪意のあるペイロードを起動する前に) が明らかになりました。
彼らのアプローチは驚くほど理路整然としていた。アフィリエイトはまず、ZoomInfoのようなツールを使って、規模、業界、収益に基づいて潜在的なターゲットをフィルタリングした。価値の高いターゲットとしてフラグが立てられると、彼らはLinkedInに目を向け、組織図をマッピングし、どのようなテクノロジーが使用されているかを理解するために求人情報を分析した。そこから、RocketReachやSignalHireのようなコンタクト・エンリッチメント・プラットフォームを使って、営業チームがプロスペクティングをするときのようにメールアドレスを集めた。
しかし、それは従業員データだけにとどまらなかった。ShodanやFOFAなどのプラットフォームを使って、グループはインターネット上に公開されているインフラをスキャンした:VPNポータル、Citrixインスタンス、SonicWallやFortinetのような脆弱なアプライアンス、JenkinsやESXiのようなクラウドサービスなどだ。いくつかのケースでは、彼らはすでに以前の侵害から流出した認証情報を持っており、アラームをトリガーすることなくログインすることができました。
これはzero-day 攻撃でもインサイダーの仕業でもなかった。攻撃者がいかにしてオープンソース・インテリジェンス(OSINT)を武器化できるかを示す教科書的な例だった。
OSINTとは何か、なぜ重要なのか
OSINTとは、一般に公開されている情報を収集・分析し、実用的なインテリジェンスを生成することである。サイバーセキュリティ・チームや調査官にとって強力なツールである一方、侵害の初期段階において攻撃者がよく使う手法でもあります。企業のブログや公開レポからソーシャルメディアの投稿や流出した認証情報に至るまで、OSINTは、組織がどのように運営されているのか 、また、どこが危険にさらされている可能性があるのかを 理解するために必要なあらゆる情報を脅威行為者に提供します。
Black Basta がこの手法を発明したわけではない。ただそれをうまく活用しただけであり、彼らだけではない。
攻撃者が探すもの
OSINTは無数の情報源からもたらされるが、一般的に4つの主要なカテゴリーに分類される:
- 人物データ
ソーシャルメディアのプロフィール、公開フォーラム、講演者の経歴は、攻撃者が主要な従業員、組織構造、仕事の習慣を特定するのに役立つ。 - 会社と技術的な暴露
求人情報、ベンダーのプレスリリース、GitHubのレポ、WHOISの記録から、使用されている技術スタックと、脆弱性をもたらす可能性のある最近の変更が明らかになる。 - インフラストラクチャ・フットプリント
ShodanやFOFAのようなツールは、インターネットに露出したサービス(VPN、クラウドアプリ、オープンポート、または古いソフトウェア)を見つけるために使用される。 - 流出した認証情報
過去の侵害によるパスワードのダンプは簡単に見つかり、しばしば再利用される。攻撃者は、特にMFAが実施されていない場合、アカウントに静かにアクセスするためにこれらを使用します。
要するに、攻撃者は散在する公開データの断片を組み合わせて、あなたの環境の完全かつ正確なマップを作成する。
今日できること
デジタルフットプリントを減らすには努力が必要だが、攻撃者の動きを鈍らせ、偵察を妨害する最も効果的な方法のひとつだ。以下のステップから始めよう:
誰にとっても:
- 定期的に自分を検索する。自分の名前、Eメール、過去の仕事でググると何が出てくるか確認する。機密性の高いプロジェクト、社内ツール、連絡先の詳細がわかるものはすべて削除する。
- 投稿する前に考える。 オフィスの写真、技術的な詳細、ベンダー名などを公共のフォーラムやソーシャル・プラットフォームで共有することは避けましょう。
- ファイルをクリーンアップ。外部と共有する前に、文書や画像からメタデータを取り除きましょう。ExifToolのようなツールが役立ちます。
- 仕事とプライベートのアカウントを分ける。私生活はプライベートに保ち、公にアクセスできる仕事上の詳細は制限する。
- ソーシャル・エンジニアリングへの警戒を怠らない。 妙に具体的な情報を使って連絡してくる人がいたら、返事をしたりクリックしたりする前に確認してください。
セキュリティ・チームのために:
- そっくりさんドメインを監視自社ブランドを模倣したドメインが新たに登録された場合にアラートを設定し、武器にされる前に対処する。
- アクセス制御を見直す。権限を厳密に必要なものに限定し、古くなったアカウントや未使用のサービス認証情報を削除する。
- ネットワークをセグメント化する。開発システム、生産システム、社内システムが隔離されていることを確認し、侵入の爆発半径を小さくする。
- OSINT ベースの攻撃をシミュレートする。レッドチームに公開データのみを収集するよう課し、どこまでできるかを確認する。調査結果を統制や意識向上トレーニングに役立てる。
より大きな視点
Black Basta事件は、我々にとって警鐘となるはずです。人やシステムが攻撃者に必要な情報をすべて公開している状況では、ゼロデイ攻撃は不要です。セキュリティとは、単にシステムにパッチを適用したり、最新のツールセットを導入したりすることだけではありません。意識向上、デジタル衛生、そして攻撃者が頼りにする情報の収集を困難にすることも重要です。公開情報への露出を減らし、侵害の兆候を早期に検知すること(特にID、ネットワーク、クラウド全体において)は、もはや選択肢ではありません。これは、防御の新たな基本方針です。
Vectra AI :予防だけでは不十分な時
こうした適切な習慣、強力なファイアウォール、エンドポイント防御を備えていても、攻撃者はセキュリティを回避する方法を見つける可能性があります。ご安心ください。予防策だけでは攻撃を阻止できない場合、Vectra AI プラットフォームが介入します。Vectra AIは、ネットワークトラフィック、クラウドID、SaaSアクティビティを継続的に監視し、侵害の微妙な兆候を検知します。攻撃者がファイアウォールやフィッシングフィルターを回避した場合、Vectra AIのAI主導型分析により、有効なユーザーIDが予期しない場所から認証されている、機密性の高いクラウドリソースにアクセスしている、サービスアカウントが稀にAPI呼び出しを行っているなど、異常なパターンが特定されます。Vectra AIはIDと行動に重点を置くため、他の防御策では見逃される脅威を捕捉し、セキュリティチームに即座に警告を発します。これにより、データが失われる前に対応することができます。
実際にプラットフォームをご覧になりたいですか?デモをリクエスト