現代の攻撃の解剖

現実世界の脅威は、どのように複数のテクニックを駆使して防御を突破するのか。

今日のAIを活用した攻撃は、単一の環境を標的とするのではなく、従来の防御策が対応できる速度よりも速く、あらゆる環境を横断して進行します。ここでは、その実態と組織への影響について解説します。

初期アクセス

攻撃者にとって最初のハードルは、オンプレミス、クラウド、SaaS など、環境に侵入することです。

一般的なテクニックには以下のようなものがあります。

フィッシング

ユーザーを騙して有効な認証情報を開示させたり、悪意のあるペイロードを実行させたりする。

パスワードスプレー

多くのアカウントで一般的なパスワードを試し、静かに侵入する。

クラウドの誤設定

AWS、Azure、Google Cloud Platformの不適切に保護されたサービスやストレージを悪用する。

脆弱なエンドポイントセキュリティの悪用

パッチが適用されていないシステムやデフォルトの認証情報を利用してエンドポイントを侵害する。

組織の主なリスク

最初のアクセスを確保した後、攻撃者はインフラストラクチャのより深い部分にまで侵入することができてしまいます。

永続性の確立

次に、攻撃者は簡単に追い出されないようにする。

一般的なテクニックには以下のようなものがあります。

トークン・ハイジャックとOAuthの悪用

漏洩したトークンやOAuthパーミッションによるSaaSアカウントへの長期アクセス。

トークン・ハイジャックの詳細

スケジュールされたタスクとトンネリング

悪意のあるスクリプトを自動化したり、バックドア侵入を維持するために隠れたネットワークトンネルを作成したりする。

トンネルの詳細

IAMロールの設定ミス

これにより、攻撃者はクラウド環境における過剰なアクセス許可を悪用し、フェイルセーフなアクセスポイントを作り出すことができる。

クラウドの設定ミスについての詳細

リモートプロシージャコール(RPC)攻撃

オンプレミスのシステム上に悪意のある拠点を隠すために、正規のサービスを利用する。

RPC攻撃の詳細

組織の主なリスク

いったん永続的なアクセスが可能になると、たとえ認証情報をリセットしたり、アクセス経路を1つ発見してシャットダウンしたとしても、攻撃者は出入りすることができます。

特権の昇格とラテラルムーブ

攻撃者は、権限の昇格と、オンプレミス、クラウド、SaaS 環境間でのラテラルムーブ (横方向の移動) に集中できるようになります。

一般的なテクニックには以下のようなものがあります。

Kerberoasting

Active Directoryの暗号化されたサービスチケットを採取し、オフラインで高レベルのクレデンシャルをクラックする。

Kerberoastingの詳細

ブルートフォースとクレデンシャル・スタッフィング

既知または流出した認証情報をテストし、SaaSやクラウドアカウントでより高い権限を得る。

ブルートフォース攻撃の詳細

クレデンシャル・スタッフィングについて

IAMとロールチェイニングを悪用する

AWS、Azure、または Google Cloud Platform 内で、設定ミスのポリシーを連鎖させて権限を昇格させる。

クラウドの誤設定について

RDP攻撃

リモート・デスクトップ・プロトコルを使用し、盗まれた、あるいは強要された認証情報を使ってシステム間を移動する。

RDP攻撃の詳細

組織の主なリスク

この段階に到達すると、攻撃者は広範な制御権を持ち、価値の高いシステムやデータをターゲットにできるようになります。

データアクセスと流出

攻撃者は特権アクセスを獲得したので、機密データの特定と抽出に取り組みます。

一般的なテクニックには以下のようなものがあります。

トラフィックミラーリングとLDAPクエリー

ネットワーク・トラフィックを傍受したり、ディレクトリにクエリーして貴重な情報を得る。

トラフィックのミラーリングの詳細

クラウドストレージの流出

設定ミスや危険なクラウドバケットから大量のデータをコピーする。

クラウドの設定ミスについての詳細

RDP攻撃

システムに直接アクセスして機密ファイルを探し出し、圧縮し、流出させる。

RDP攻撃の詳細

SaaSファイル共有の悪用

Microsoft 365やGoogle Workspaceのようなプラットフォーム内の合法的なファイル共有機能を狙う。

SaaSファイル共有の詳細

組織の主なリスク

データ流出に成功すると、規制当局による罰則、競争上の優位性の喪失、風評被害などを招く可能性があります。

インパクトと収益化

最後に、攻撃者は、ランサムウェアの要求、暗号通貨のマイニング、データの販売、直接的な妨害行為などを通じて、アクセスを収益化または活用します。

一般的なテクニックには以下のようなものがあります。

ランサムウェアの暗号化

オンプレミスとクラウドストレージのファイルをロックし、暗号通貨での支払いを要求する。

ランサムウェアの詳細

クリプトマイニング

企業のインフラやクラウドインスタンスにマイニングソフトウェアをインストールし、不正な収益を得ること。

クリプトマイニングの詳細

ビジネスメール詐欺(BEC)

これにより、攻撃者は企業の電子メールアカウントを悪用し、請求書詐欺を実行したり、幹部になりすましたりすることができる。

BECの詳細

サービス拒否(DoS)

その結果、企業アプリやクラウドサービスが溢れかえり、業務が停止してしまう。

DoSの詳細

組織の主なリスク

この最終段階に達すると、業務が麻痺し、データの完全性が破壊され、ブランドに傷がつく可能性がある。このようなインパクトの大きい結果を防止または軽減するためには、前の段階での早期発見と中断が極めて重要です。

現代の攻撃を食い止める準備はできていますか？

セキュリティギャップ評価を受ける

現代の攻撃は洗練されているため、混合型攻撃の微妙な兆候を見落としがちです。貴社のツールが最新の脅威を検知できるかどうかを確認してください。

セキュリティの評価

注目のeBook

新たな現代攻撃者の手口の内訳

今日の攻撃者がどのように見え隠れしているか、そしてどのように迎え撃つかを学ぶ。

ダウンロード

Vectra AIが現代の攻撃を検知し阻止する方法

攻撃者は複数のTTPを連鎖させることで検知を回避します。Vectra AI は以下を提供します。

カバレッジ

クラウド、ネットワーク、エンドポイントにまたがる攻撃をリアルタイムでカバーし、最初の侵害から流出まで、あらゆるフェーズを捕捉します。

明瞭性

AI主導の相関関係により、散在するシグナルが優先順位付けされた単一のアラートに変換されるため、攻撃がどこでどのように進行しているかを正確に把握することができます。

コントロール

自動化された、またはガイドされたレスポンス・アクションにより、侵害されたアカウントを封じ込め、感染したホストを隔離し、悪意のある接続を遅滞なくブロックすることができます。

プラットフォーム

現代の攻撃に油断するな

セキュリティギャップ評価

大切なものを守る方法をご覧ください。

デモを見る

Vectra AIセキュリティエンジニアによるデモのご予約はこちら。