このブログは元々SCメディアのバイラインとして紹介されたもので、許可を得てここに再掲載する。
2025年5月、Black Basta ランサムウェア・グループの内部チャット・ログが流出し、攻撃者たちがどのように公開データを利用して企業をプロファイルし、脆弱なインフラを特定し、静かにアクセス権を獲得していたかが明らかになった(すべて悪意のあるペイロードを1つ起動する前に)。
彼らのアプローチは驚くほど理路整然としていた。アフィリエイトはまず、ZoomInfoのようなツールを使って、規模、業界、収益に基づいて潜在的なターゲットをフィルタリングした。価値の高いターゲットとしてフラグが立てられると、彼らはLinkedInに目を向け、組織図をマッピングし、どのようなテクノロジーが使用されているかを理解するために求人情報を分析した。そこから、RocketReachやSignalHireのようなコンタクト・エンリッチメント・プラットフォームを使って、営業チームがプロスペクティングをするときのようにメールアドレスを集めた。
しかし、それは従業員データだけにとどまらなかった。ShodanやFOFAなどのプラットフォームを使って、グループはインターネット上に公開されているインフラをスキャンした:VPNポータル、Citrixインスタンス、SonicWallやFortinetのような脆弱なアプライアンス、JenkinsやESXiのようなクラウドサービスなどだ。いくつかのケースでは、彼らはすでに以前の侵害から流出した認証情報を持っており、アラームをトリガーすることなくログインすることができました。
これはzero-day 攻撃でもインサイダーの仕業でもなかった。攻撃者がいかにしてオープンソース・インテリジェンス(OSINT)を武器化できるかを示す教科書的な例だった。
OSINTとは何か、なぜ重要なのか
OSINTとは、一般に公開されている情報を収集・分析し、実用的なインテリジェンスを生成することである。サイバーセキュリティ・チームや調査官にとって強力なツールである一方、侵害の初期段階において攻撃者がよく使う手法でもあります。企業のブログや公開レポからソーシャルメディアの投稿や流出した認証情報に至るまで、OSINTは、組織がどのように運営されているのか 、また、どこが危険にさらされている可能性があるのかを 理解するために必要なあらゆる情報を脅威行為者に提供します。
Black Basta この方法を発明したわけではない。彼らはそれをうまく使っているだけであり、彼らだけではない。
攻撃者が探すもの
OSINTは無数の情報源からもたらされるが、一般的に4つの主要なカテゴリーに分類される:
- 人物データ
ソーシャルメディアのプロフィール、公開フォーラム、講演者の経歴は、攻撃者が主要な従業員、組織構造、仕事の習慣を特定するのに役立つ。 - 会社と技術的な暴露
求人情報、ベンダーのプレスリリース、GitHubのレポ、WHOISの記録から、使用されている技術スタックと、脆弱性をもたらす可能性のある最近の変更が明らかになる。 - インフラストラクチャ・フットプリント
ShodanやFOFAのようなツールは、インターネットに露出したサービス(VPN、クラウドアプリ、オープンポート、または古いソフトウェア)を見つけるために使用される。 - 流出した認証情報
過去の侵害によるパスワードのダンプは簡単に見つかり、しばしば再利用される。攻撃者は、特にMFAが実施されていない場合、アカウントに静かにアクセスするためにこれらを使用します。
要するに、攻撃者は散在する公開データの断片を組み合わせて、あなたの環境の完全かつ正確なマップを作成する。
今日できること
デジタルフットプリントを減らすには努力が必要だが、攻撃者の動きを鈍らせ、偵察を妨害する最も効果的な方法のひとつだ。以下のステップから始めよう:
誰にとっても:
- 定期的に自分を検索する。自分の名前、Eメール、過去の仕事でググると何が出てくるか確認する。機密性の高いプロジェクト、社内ツール、連絡先の詳細がわかるものはすべて削除する。
- 投稿する前に考える。 オフィスの写真、技術的な詳細、ベンダー名などを公共のフォーラムやソーシャル・プラットフォームで共有することは避けましょう。
- ファイルをクリーンアップ。外部と共有する前に、文書や画像からメタデータを取り除きましょう。ExifToolのようなツールが役立ちます。
- 仕事とプライベートのアカウントを分ける。私生活はプライベートに保ち、公にアクセスできる仕事上の詳細は制限する。
- ソーシャル・エンジニアリングへの警戒を怠らない。 妙に具体的な情報を使って連絡してくる人がいたら、返事をしたりクリックしたりする前に確認してください。
セキュリティ・チームのために:
- そっくりさんドメインを監視自社ブランドを模倣したドメインが新たに登録された場合にアラートを設定し、武器にされる前に対処する。
- アクセス制御を見直す。権限を厳密に必要なものに限定し、古くなったアカウントや未使用のサービス認証情報を削除する。
- ネットワークをセグメント化する。開発システム、生産システム、社内システムが隔離されていることを確認し、侵入の爆発半径を小さくする。
- OSINT ベースの攻撃をシミュレートする。レッドチームに公開データのみを収集するよう課し、どこまでできるかを確認する。調査結果を統制や意識向上トレーニングに役立てる。
全体像
ブラックバスタ Black Basta事件は警鐘を鳴らすべきだ。人やシステムが攻撃者が必要とするものをすべて暴露してしまうのであれば、zero-day 必要ない。セキュリティとは、単にシステムにパッチを当てたり、最新のツールセットを導入したりすることだけではありません。公衆への露出を減らし、(特にアイデンティティ、ネットワーク、クラウドにわたる)侵害の兆候を早期に検知することは、オプションではありません。これは、防御のための新しい基準なのだ。
Vectra AIプラットフォーム:予防だけでは不十分な場合
このような良い習慣、強力なファイアウォール、エンドポイントディフェンスを持ってしても、攻撃者はセキュリティを迂回する方法を見つけるかもしれません。予防だけでは攻撃を阻止できない場合は、Vectra AIプラットフォームが介入します。Vectra AIは、ネットワークトラフィック、クラウドアイデンティティ、SaaSアクティビティを継続的に監視し、侵害の微妙な兆候を検知 します。攻撃者がファイアウォールやphishing 迂回した場合、Vectra AIのAI主導 分析により、有効なユーザーIDが予期しない場所から認証されたり、機密性の高いクラウドリソースにアクセスしたり、サービスアカウントが稀にAPIコールを行うなど、通常とは異なるパターンを発見します。Vectra AIは、アイデンティティと挙動に焦点を当てているため、他の防御が見逃す脅威をキャッチし、セキュリティチームに即座に警告を発し、データが失われる前に対処することができます。
実際にプラットフォームをご覧になりたいですか?デモをリクエスト