ネットワークエッジ機器へのゼロデイ攻撃:NDRが重要な理由

2024年11月28日
Lucie Cardiet
プロダクト・マーケティング・マネージャー
ネットワークエッジ機器へのゼロデイ攻撃:NDRが重要な理由

ネットワーク エッジ デバイスのゼロデイ脆弱性は、急速に組織ネットワークへの侵入手段として最も悪用されるものの 1 つになりつつあります。ファイブ・アイズ同盟 (米国、英国、オーストラリア、カナダ、ニュージーランド) のサイバーセキュリティ機関による最近の勧告では、この憂慮すべき傾向が注目されており、過去数年とは異なる変化が見られます。Citrix NetScaler、Fortinet VPN、Cisco ルーターの重大な欠陥など、最も悪用された脆弱性トップ 15 の大部分が、当初はゼロデイとして悪用されたことが初めて明らかになりました。国家の関与が疑われる攻撃者を含む敵意を持つ者がこれらの脆弱性を利用して数千台のデバイスを侵害し、永続的なアクセスを獲得して Webシェルを仕掛け、長期的な制御を行っていることが明らかになりました。

この急増は、攻撃者が新たに公開されたゼロデイ脆弱性を悪用してネットワークに侵入することを優先するという「新常態」を浮き彫りにしています。

ネットワーク検知とレスポンス (NDR) ソリューションの実装は、検知 、侵害後の活動を行い、これらの高度な攻撃に関連するリスクを軽減するために不可欠です。

エスカレートする脅威の状況

攻撃者は、組織ネットワークへの侵入口としてネットワーク・エッジ・デバイスに注目するようになっています。これらのデバイスは、信頼されたネットワークと信頼されていないネットワークの境界に存在することが多いため、魅力的な標的であり、これらのデバイスを侵害することで、攻撃者はネットワーク内部への足掛かりを得ることができます。

以下の例は、重要なシステムを標的としたゼロデイ悪用の増加傾向を示しています。

  • Palo AltoZero-Days: 認証されていないリモートコード実行が可能な ため、攻撃者は事前の認証なしにファイアウォールを完全に制御することができます。
  • Ivanti (Pulse Secure)の不正アクセス:認証バイパスの脆弱性により、攻撃者は検知されずにネットワークに侵入することができました。
  • Citrix ADCのエクスプロイト:リモートコード実行の脆弱性により、企業環境において重大な侵害が発生。
  • SonicWallZero-Days: パッチ未適用の脆弱性が悪用され、安全なリモートアクセスデバイスが侵害されました。
  • フォーティネットの脆弱性致命的なゼロデイ欠陥が悪用され、フォーティネットのファイアウォールシステムが制御され、ネットワーク防御が損なわれました。
  • F5 BIG-IP の脆弱性:重大なリモートコード実行の脆弱性が悪用され、デバイスの管理者制御が可能となり、ネットワークが完全に侵害される可能性があります。
近年の主な脆弱性と情報公開
近年の主な脆弱性と情報公開

これらの事例は、信頼できるセキュリティデバイスでさえも負債になりうることを示しています。攻撃者がこれらのシステムに侵入すると、セキュリティ機能を操作したり無効にしたりすることができ、従来の制御が効かなくなります。

侵害されたエッジデバイスの限界

従来のセキュリティ ツールでは、ファイアウォールなどの信頼できるデバイスから発生する悪意のあるアクティビティを検知できないことがよくあります。これらのデバイスはデフォルトで安全であると見なされているため、異常な動作が気付かれない可能性があります。これらのデバイスが侵害されると、組織全体に広まり、攻撃者がアクティビティを拡大するための強力なツールになります。

ファイアウォールのようなネットワーク・エッジ・デバイスが侵害されると、ネットワークセキュリティの根幹が損なわれます。攻撃者は、セキュリティ機能を操作したり無効にしたり、設定を変更したり、デバイス内に保存されている機密データにアクセスしたりすることができます。例えば、CVE-2024-3400を悪用した後、攻撃者は以下のことが可能になりました。

  • ファイアウォールの設定をダンプ:ネットワークアーキテクチャ、IPアドレスの範囲、認証メカニズムに関する洞察を得ることができます。
  • 認証情報の取得:ファイアウォールやリモートアクセスサービスは、ドメインやその他の組織サービスに対する特権クレデンシャルを保持していることがよくあります。これらの認証情報を抽出して特権の昇格に使用することで、攻撃者は重要なシステムに深くアクセスできるようになります。
  • ロギングとアラートを無効にする:セキュリティ通知を抑制することで検知を防ぐ。
CVE-2024-3400脆弱性の技術的な詳細、PAN-OSの各種バージョンへの影響、現在進行中のパッチ適用作業の緊急性に関する詳細は、Threat Briefingをご覧ください。

侵害後のアクティビティ:次に何が起こるか

ネットワークに侵入すると、攻撃者は通常、侵害後にいくつかのアクティビティを行います。

1.偵察

攻撃者は、貴重な資産や重要なシステムを特定するために、内部ネットワークをマッピングします。ネットワーク・アーキテクチャを分析し、Active Directoryの構造を特定し、価値の高い情報を持つサーバーやデータベースをピンポイントで特定します。

例 :SolarWinds社による攻撃では、攻撃者は偵察によって被害を受けた組織のActive Directory環境をマッピングし、標的となる特権アカウントや機密リソースを特定しました。

2.クレデンシャルハーベスティング

攻撃者は、特権をエスカレートさせ、ネットワークへのより深いアクセスを得るために認証情報を抽出する。これには多くの場合、保存されているパスワードをキャプチャしたり、クレデンシャル・ダンピング・ツールを活用したり、侵害されたシステムのコンフィギュレーションからクレデンシャルを盗んだりします。

例 :高度なスキルを持つ脅威グループであるMidnight Blizzardは、フィッシングとマルウェアを使用して、高い特権を持つ認証情報を盗み出し、機密メールシステムやクラウド環境へのアクセスを許可しました。

3.ラテラルムーブ

攻撃者は、SMB、RDP、WinRMなどのプロトコルを使用してシステム間を移動し、組織内での足場を拡大します。攻撃者は、信頼関係や脆弱なアクセス制御を悪用し、価値の高い標的へと攻撃を広げます。

例:WannaCry ランサムウェア攻撃の際、攻撃者は SMB の EternalBlue 脆弱性を悪用し、ネットワークを横断して伝播し、多数のエンドポイントを感染させました。

4.データ流出

攻撃者は機密データを収集してネットワーク外に転送し、多くの場合、データを暗号化したり、攻撃者が管理する外部サーバーに送信したりします。盗まれたデータは、恐喝に使用されたり、ダークウェブで販売されたり、さらなる攻撃に利用されたりする可能性があります。

例 :Clopランサムウェアグループは、MOVEit Transferの脆弱性を悪用し、数百の組織から機密データを盗み出し、その後、それを公表すると脅迫するために使用しました。

5.永続性の確立

攻撃者は、侵害されたネットワークへの継続的なアクセスを維持するためにバックドアを作成します。この持続性には、ウェブシェル、マルウェアインプラント、または操作されたアカウントが含まれます。

例:2023年、脅威者はCitrix NetScaler ADCアプライアンスのゼロデイ脆弱性(CVE-2023-3519)を悪用し、Webシェルを埋め込みました。これらのWebシェルは永続的なアクセスを提供し、攻撃者は被害者のActive Directory上でディスカバリを実行し、データを収集および流出させることができました。

ファイアウォールを悪用する場合、攻撃者は侵害されたデバイスを活用して複数の内部システムへの接続を開始し、ドメインコントローラ、バックアップデータ保護キー、ユーザーワークステーションなどを狙います。

ネットワーク検知とレスポンス (NDR) の必要性

このような巧妙な攻撃を考慮すると、従来のセキュリティ対策だけに頼るのは不十分です。組織には、侵害されたデバイスを迂回したり、そこから発生したりする悪意のある活動を検知する、独立した包括的な手段が必要です。そこで重要になるのが、ネットワーク検知とレスポンス (NDR)です。

NDRが不可欠な理由

  • 独立した脅威検知:NDRは、エンドポイントセキュリティや侵害されたデバイスとは別に動作し、継続的な可視性を確保します。
  • 振る舞い分析:ネットワークトラフィックのパターンを分析することで、NDRは偵察、ラテラルムーブ、その他の悪意のある活動を示す異常を特定することができます。
  • 迅速な検知: Vectra AIのようなNDRソリューションは、高度な機械学習モデルを活用して、検知 、脅威をリアルタイムで検知し、攻撃者の隙を最小限に抑えます。
  • 包括的なカバレッジ: NDRは、ラテラルムーブの際に悪用されがちな東西(内部)通信を含む、すべてのネットワークトラフィックを監視します。

Vectra AIが侵害後の活動を検知する方法

Vectra AIプラットフォームは、侵害されたセキュリティインフラを回避または起源とする脅威を特定、調査、対応するために特別に設計されています。Vectra AIの Attack Signal Intelligenceは、高度な人工知能 (AI) と機械学習 (ML) を活用して、ネットワークトラフィックをリアルタイムで分析し、悪意のある行動の微妙な兆候を検知します。

当社のAttack Signal Intelligence :

  • 疑わしい管理者の動作: WinRM、SSH、RDPなどの管理プロトコルの異常な使用を検出します。ファイアウォールのようなデバイスが、突然、これらのプロトコルを使用して内部システムへの接続を開始した場合(以前は観察されなかった動作)、Vectra AI はこれを疑わしいものとしてフラグ付けします。
  • 疑わしいリモート実行:PowerShell RemotingやPsExecなどのツールを使用したリモート実行活動を監視します。予期しないソースからのこれらのツールの使用における異常は、横方向の動きを示しています。
  • 特権アクセス分析:Kerberos認証パターンを分析し、サービスやホストへの異常なアクセスを検知 。侵害されたデバイスが、これまで接したことのないサービスやホスト、特に高い特権を必要とするホストにアクセスし始めた場合、Vectra AI はこれを潜在的な脅威として識別します。

事例:ファイアウォール悪用の検知

攻撃者がファイアウォールの脆弱性を悪用するシナリオの場合は以下の通りです。

  • 異常トラフィックの検知:Vectra AIは、管理プロトコルを使用して内部システムへの異常な接続を開始したファイアウォールを検知します。
  • クレデンシャル不正使用の識別:重要なサービスにアクセスするために取得されたクレデンシャルが使用された場合、通常の認証パターンからの逸脱に基づいてアラートが発せられます。
  • AI主導のトリアージ: Vectra AIのAI主導トリアージは、検知された脅威を自動的にトリアージし、ノイズを低減し、最も重要なインシデントをハイライトして即座にレスポンス 、より迅速で効果的な調査を可能にします。
  • AI主導の優先順位付け:Vectra AIの優先順位付けにより、これらの重要な脅威はセキュリティチームの即時の注意を喚起し、迅速な対処が可能になります。ハイブリッド攻撃者がエンドポイントを超える方法に関するインフォグラフィックをご覧ください。

検知を超える:迅速な対応の重要性レスポンス

検知は最初のステップにすぎません。脅威を封じ込めて被害を最小限に抑えるには、迅速な対応が不可欠です。

Vectra AI のレスポンス機能

  • 自動化されたアクション :Vectra AIは、侵害されたユーザーアカウントを自動的に無効にしたり、影響を受けたホストを隔離したりして、攻撃者が横方向に移動する能力を制限することができる。
  • セキュリティ・エコシステムとの統合:ファイアウォールやエンドポイントプロテクションプラットフォームなどの既存のセキュリティツールとシームレスに連携し、セキュリティポリシーを実施します。
  • 実用的な洞察:セキュリティチームによる調査と修復作業を支援するために、詳細なコンテキストと推奨事項を提供します。

ゼロデイ・ネットワーク・エッジ・デバイスを標的とする攻撃は、重大かつ進化する脅威です。いったん攻撃者がこれらのデバイスを侵害すると、検知されずにネットワーク内を移動できるため、従来のセキュリティ対策は効果を発揮しなくなります。プロアクティブな対策だけでは不十分な場合もあるため、Vectra AI のようなNDRソリューションの導入が不可欠です。

  • 侵害後の活動の検知:最初の侵害の後に発生する悪意のある行動を特定します。
  • セキュリティの可視性の維持:一次防御が侵害された場合でも、継続的な監視を確保する。
  • 迅速なレスポンス:脅威を封じ込めて修復するための迅速な対応を促進します。エッジを超えた脅威に先手を打つことができます。今すぐデモをリクエストして、主要な防御が侵害された場合でも、攻撃を検知して対応する方法をご確認ください。

エッジを超えた脅威の先を行く必要があります。今すぐデモをリクエストし 、主要な防御が侵害された場合でも、攻撃を検知して対応する方法をご確認ください。

よくあるご質問(FAQ)