現代の攻撃の解剖

現実世界の脅威は、どのように複数のテクニックを駆使して防御を突破するのか。

今日のAI主導攻撃は、1つの環境をターゲットにしているわけではなく、従来の防御が対応できるよりも速く、すべての環境を横断的に進行する。ここでは、野生のAIがどのようなもので、あなたの組織にとってどのような意味を持つかを説明する。

初期アクセス

攻撃者の最初のハードルは、オンプレミス、クラウド、SaaSを問わず、あなたの環境に侵入することだ。

一般的なテクニックには以下のようなものがある：

フィッシング

ユーザーを騙して有効な認証情報を開示させたり、悪意のあるペイロードを実行させたりする。

SMBスキャン

ネットワーク上のオープンなSMB共有や脆弱なSMB共有を検索する。

クラウドの誤設定

AWS、Azure、Google Cloud Platformの不適切に保護されたサービスやストレージを悪用する。

脆弱なエンドポイントセキュリティの悪用

パッチが適用されていないシステムやデフォルトの認証情報を利用してエンドポイントを侵害する。

組織の主なリスク

最初のアクセスを確保した後、攻撃者はインフラストラクチャのより深い部分にまで侵入することができる。

永続性の確立

次に、攻撃者は簡単に追い出されないようにする。

一般的なテクニックには以下のようなものがある：

トークン・ハイジャックとOAuthの悪用

漏洩したトークンやOAuthパーミッションによるSaaSアカウントへの長期アクセス。

トークン・ハイジャックの詳細

スケジュールされたタスクとトンネリング

悪意のあるスクリプトを自動化したり、バックドア侵入を維持するために隠れたネットワークトンネルを作成したりする。

トンネルの詳細

IAMロールの設定ミス

これにより、攻撃者はクラウド環境における過剰なアクセス許可を悪用し、フェイルセーフなアクセスポイントを作り出すことができる。

クラウドの設定ミスについての詳細

リモートプロシージャコール（RPC）攻撃

オンプレミスのシステム上に悪意のある拠点を隠すために、正規のサービスを利用する。

RPC攻撃の詳細

組織の主なリスク

いったん永続的なアクセスが可能になると、たとえ認証情報をリセットしたり、アクセス経路を1つ発見してシャットダウンしたとしても、攻撃者は出入りすることができる。

特権の昇格と横移動

攻撃者は今、特権をエスカレートさせ、オンプレミス、クラウド、SaaS環境を横断的に移動することに集中できる。

一般的なテクニックには以下のようなものがある：

Kerberoasting

Active Directoryの暗号化されたサービスチケットを採取し、オフラインで高レベルのクレデンシャルをクラックする。

ケルベロースティングの詳細

ブルートフォースとCredential Stuffing

既知または流出した認証情報をテストし、SaaSやクラウドアカウントでより高い権限を得る。

ブルートフォース攻撃の詳細

クレデンシャル・スタッフィングについて

IAMとロールチェイニングを悪用する

AWS、Azure、または Google Cloud Platform 内で、設定ミスのポリシーを連鎖させて権限を昇格させる。

クラウドの誤設定について

RDP攻撃

リモート・デスクトップ・プロトコルを使用し、盗まれた、あるいは強要された認証情報を使ってシステム間を移動する。

RDP攻撃の詳細

組織の主なリスク

この段階に達するということは、攻撃者が広範な制御権を持ち、価値の高いシステムやデータを標的にし始めることができるということだ。

データアクセスと流出

攻撃者は特権的なアクセス権を得たので、機密データを探し出し、抽出することに取り組む。

一般的なテクニックには以下のようなものがある：

トラフィックミラーリングとLDAPクエリー

ネットワーク・トラフィックを傍受したり、ディレクトリにクエリーして貴重な情報を得る。

トラフィックのミラーリングの詳細

クラウドストレージの流出

設定ミスや危険なクラウドバケットから大量のデータをコピーする。

クラウドの設定ミスについての詳細

RDP攻撃

システムに直接アクセスして機密ファイルを探し出し、圧縮し、流出させる。

RDP攻撃の詳細

SaaSファイル共有の悪用

Microsoft 365やGoogle Workspaceのようなプラットフォーム内の合法的なファイル共有機能を狙う。

SaaSファイル共有の詳細

組織の主なリスク

データ流出に成功すると、規制当局による罰則、競争上の優位性の喪失、風評被害などを招く可能性があります。

インパクトと収益化

最後に、攻撃者は、ランサムウェアの要求、クリプトマイニング、データ売買、あるいは直接的な妨害行為などを通じて、アクセス権を収益化または活用する。

一般的なテクニックには以下のようなものがある：

ランサムウェアの暗号化

オンプレミスとクラウドストレージのファイルをロックし、暗号通貨での支払いを要求する。

ランサムウェアの詳細

クリプトマイニング

企業のインフラやクラウドインスタンスにマイニングソフトウェアをインストールし、不正な収益を得ること。

クリプトマイニングの詳細

ビジネスメール詐欺（BEC）

これにより、攻撃者は企業の電子メールアカウントを悪用し、請求書詐欺を実行したり、幹部になりすましたりすることができる。

BECの詳細

サービス拒否（DoS）

その結果、企業アプリやクラウドサービスが溢れかえり、業務が停止してしまう。

DoSの詳細

組織の主なリスク

この最終段階に達すると、業務が麻痺し、データの完全性が破壊され、ブランドに傷がつく可能性がある。このようなインパクトの大きい結果を防止または軽減するためには、前の段階での早期発見と中断が極めて重要です。

現代の攻撃を食い止める準備はできているか？

セキュリティ・ギャップ評価を受ける

現代の攻撃は洗練されているため、混合型攻撃の微妙な兆候を見落としがちです。あなたのツールが最新の脅威を検知できるかどうかを確認してください。

セキュリティの評価

注目の電子書籍

新たな現代攻撃者の手口の内訳

今日の攻撃者がどのように見え隠れしているか、そしてどのように迎え撃つかを学ぶ。

ダウンロード

Vectra AIはどのように現代の攻撃を検知し、妨害するか

攻撃者は、複数のTTPを連鎖させ、水面下に潜り込むことに依存しています。Vectra AIは提供します：

カバレッジ

クラウド、ネットワーク、エンドポイントにまたがる攻撃をリアルタイムでカバーし、最初の侵害から流出まで、あらゆるフェーズを捕捉します。

明瞭性

AI主導の相関関係により、散在するシグナルが優先順位付けされた単一のアラートに変換されるため、攻撃がどこでどのように進行しているかを正確に把握することができます。

コントロール

自動化された、またはガイドされたレスポンス・アクションにより、侵害されたアカウントを封じ込め、感染したホストを隔離し、悪意のある接続を遅滞なくブロックすることができます。

プラットフォーム

現代の攻撃に油断するな

セキュリティギャップ評価

大切なものを守る方法をご覧ください。

デモを見る

Vectra AIセキュリティエンジニアによるデモのご予約はこちら。