LastPassの不正アクセス:痛みのピラミッド

2023年3月14日
Kat Traxler
Principal Security Researcher
LastPassの不正アクセス:痛みのピラミッド

サイバーセキュリティの専門家たちは、ここ数カ月でLastPassの情報漏えいの詳細に素早く対応してきた。顧客にとって重要な修復ステップを取り上げる意見書や、インシデントコミュニケーションに対する当然の批判が発表されている。しかし、LastPassのさまざまなコミュニケーションから読み取れる指標についての議論は、世間の論調からは欠落しています。このブログでは、LastPassのコミュニケーションに含まれる情報を概説し、攻撃者の指標を列挙することで、「痛みのピラミッド」に基づいた議論を展開したいと思います。

この記事は「痛みのピラミッド」の著者であるデイビッド・ビアンコの「敵対者(APT1/コメント・クルーであれ、その他の脅威アクターであれ)に関する新しい情報を入手したときはいつでも、それを痛みのピラミッドに照らして注意深く見直すように」というアドバイスに忠実に従うことを意図している。段落ごとに、『ここに敵の活動(検知)に使えるものはないか、これはピラミッドのどこに位置するのか』と自問することだ」

クラウドインジケーターの痛みのピラミッド

痛みのピラミッド」は、検知コントロールの有効性を分類するための概念モデルである。2013年にデビッド・ビアンコによって初めて説明された「痛み」は、検知コントロールが敵に与える苦痛を指します。ピラミッドの上に行けば行くほど、攻撃者は防御側の検知能力を適応させ、必然的に回避するために、より多くの痛みを感じることになります。痛みのピラミッドは、侵害のすべての指標(したがって検出能力)が同じように作成されていないことを認識します。ある指標は、攻撃者が修正し、回避することが簡単である一方、他の行動は、その目標の中核であり、そう簡単に変更することはできません。

ピラミッドの一番下には、IPアドレスやハッシュ値のような単純なインジケータがある。これには、ソースIPアドレスや攻撃ツールのシグネチャに基づくクラウド 。防御者は、苦痛のピラミッドの低いインジケータをターゲットにした検知を展開することで、いくらか安心感を得られるかもしれませんが、回避が単純であることを認識する必要があります。

痛みのピラミッド」の頂点に立つのは、攻撃者が目標を達成するための基本的な指標である。これらは戦術、技術、手順(TTPs)であり、脅威アクターが修正するのは難しいか不可能である。信頼されたクラウド環境からのデータ転送に関与する API 呼び出しをフィンガープリントする検知スイートを想像してください。このインジケータは、攻撃者がデータを転送するためにクラウド プロバイダから未知の文書化されていないメカニズムを活用できない限り、修正することは不可能でしょう。

中間に挟まれているのは、敵対者が修正することができたり、多少の困難があっても表示を避けることができたりする指標である。クラウドを分析する場合、この階層には最初の侵害を示すイベントパターンが含まれる。クラウド環境の発見と列挙は、クラウド API に直接クエリし、クラウド コントロールプレーン上にインジケータの痕跡を残すことによって、最も単純に実行される。しかし、このような指標は避けることができ、代わりにオープンソースのインテリジェンスや内部文書から情報を採取することで同じ情報を得ることができる。

ラストパス コミュニケーションズ インテル

公開されたLastPassのコミュニケーションから、特に攻撃者がクラウドホスティングされたデータをターゲットにしていることに注目して、情報を抜き出してみましょう。これらのコミュニケーションには、LastPassの保護・防御ポスチャに関する興味深い情報が数多く含まれているが、この記事では、攻撃者が示した可能性のある行動を明らかにすることに焦点を当てる。

第1回:ソースリポジトリと技術文書が盗まれた。

「この脅威者は、クラウドベースの開発環境にアクセスする際、サードパーティの VPN サービスを使用して活動の発信元を難読化し、そのアクセスを使用してソフトウェアエンジニアになりすましていました。この方法を用いて、彼らは、クラウドベースの開発環境への専用接続だけでなく、当社の企業 VPN を介してオンデマンド開発環境に「尾行」することができました。彼らは、ソフトウェア・エンジニアがドメイン認証情報と MFA を使って認証に成功したことを頼りに、これを実行した。特権の昇格は確認されず、またその必要もありませんでした」
  • これは、クラウド ベースの開発環境がハイブリッド接続性を持ち、企業IP空間内のドメイン認証ユーザーが利用可能であったことを示している。
  • 通常とは異なる IP アドレスや既知の悪質な IP アドレスを対象とした検知コントロールは、ソフトウェア・エンジニアのエンドポイントから発信された場合、企業 VPN を使用する脅威アクターを見逃す可能性が高かったでしょう。しかし、接続がワークステーションの外部で確立されていない場合は、通常とは異なる VPN 接続を防止または検知するためのコントロールが可能でした。

第二の事件:暗号化されたデータ、暗号化されていないデータ、ワンタイムパスワードシード、サードパーティの統合で使用されるAPIシークレットを含む顧客データ保管庫のバックアップが盗まれた。

「LastPassのオンプレミスデータセンターインストールを保護し、安全性を確保するセキュリティコントロールにより、脅威者はクラウドストレージサービスにアクセスするために必要な復号キーにアクセスできる4人のDevOpsエンジニアのうちの1人を標的としました。」
  • 報告書の著者は、脅威者がオンプレミスのデータではなく、クラウドに保存されたデータを標的に選んだのは、セキュリティ管理があまり強固でなかったからだと指摘しているようだ。
「具体的には、脅威者はDevOpsの上級エンジニアから盗んだ有効な認証情報を活用して、共有のクラウドストレージ環境にアクセスすることができた。このため、当初は脅威者の活動と進行中の合法的な活動を区別することが難しかった。
「クラウドベースのストレージリソース(特に S3 バケット)にアクセスするには......暗号化されたクラウド ベースのストレージサービスには、LastPass の顧客データと暗号化された保管庫データのバックアップが格納されています。」
  • これらの文章をまとめると、AWS S3のオブジェクトは、攻撃者が盗んだ有効な認証情報を使ってアクセスしたと推測できる。
「クラウド ベースのストレージリソース(特に、AWS S3-SSE 暗号化、AWS S3-KMS 暗号化、AWS S3-SSE-C 暗号化のいずれかで保護された S3 バケット)にアクセスするために、脅威者は AWS アクセスキーと LastPass が生成した復号鍵を入手する必要があった。
  • クラウドベースのストレージリソースにアクセスするためにAWSのアクセスキーが必要で、そのアクセスが最終的に成功した場合、アクセスキーを割り当てることができる唯一のIAMプリンシパルであるため、IAMユーザーが侵害され、S3に保存されたオブジェクトにアクセスするために利用されたと結論づけることができる。
  • アクセスされたデータがクラウド バックアップであったことから、漏洩したIDは災害復旧シナリオで活用されることを意図していたと推測される。
「......脅威者は、サードパーティ製ソフトウェアの脆弱性を悪用し、既存の制御をバイパスして、最終的に非本番の開発環境とバックアップ・ストレージ環境にアクセスした。4"

LastPass流出:クラウド検知とレスポンス 機会

さまざまな指標の価値についてわかっていることを踏まえて、LastPass違反の可能性のある指標をどのように「痛みのピラミッド」にマッピングできるだろうか?

比較的「痛くない」指標

このような指標は、敵対者にとって回避しやすく、高い信頼性で真正検知となる傾向があるが、クラウド リソースへの影響を示さない傾向があるため、セキュリティ運用チームからタイムリーなアクションを受ける可能性は低い。

  • クラウド
    →この指標を探した場合、最初の事件が検知された可能性は低いが、2回目の事件で何らかのシグナルが出た可能性はある。

ミッドピラミッド指標

敵対者は、このような指標を使用することをある程度は避けることができるだろうが、それでも、クラウドのリソースへの影響を説明しない傾向があるため、セキュリティ運用チームからタイムリーなアクションを受けることはないだろう。

  • 偵察活動
    →有効な認証情報にアクセスすると、攻撃者はクラウド APIを活用し、権限を列挙したり、S3オブジェクトをリストアップして説明したりした可能性がある。しかし、最初のインシデントでは大量の技術文書が盗まれた。必要な情報はすべてこの文書に含まれていた可能性が高く、攻撃者はクラウド でさらに偵察活動を行う必要はありませんでした。

トップ・ピラミッド指標

脅威アクターはこれらのインジケータを残すことを避け、なおかつデータ流出などの目的を達成することはできないだろう。検知を回避するためにこれらの指標を変更するには、 未知のAPIやテクニックを活用する必要がある。これらの指標を中心に構築された検知は、セキュリティ・オペレーション・チームから迅速に注意を引く可能性が高い。

  • S3 Objects to Suspicious Destination(S3オブジェクトの不審な宛先への移動)
    → データは、クラウドがホストする認可されたデータ・リポジト リから、攻撃者が管理する場所に移動された。この移動は、未知の、信頼されていない、または外部の場所へのデータの移動に関する検知を細工する機会である。
  • 大量のS3オブジェクトへのアクセス
    → LastPassの通信から、AAWSクラウドAPIのスピードとスケールを活用して大量のデータが転送されたと推測できる。大量のデータへのアクセスは、痛みのピラミッドの頂点に位置する指標であり、検知 不審なデータ検索のシグナルとなる。

LastPassの情報漏えい事件から導き出され、「痛みのピラミッド」の全レベルにマッピングできる侵害の指標がいくつかあります。すべてのレベルで検知をカバーすることには価値がありますが、その範囲はお客様によって異なる可能性があることを認識することが重要です。未知の、あるいは信頼されていないソースIPアドレスからのクラウドアクセスの検知は、攻撃者にとって回避するのは些細なことでしょう。一方、疑わしいデータ移動やデータアクセスのTTPの検知は、試行錯誤を重ねた検知方法でしょう。

よくあるご質問(FAQ)