Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
特権の昇格は、今日の攻撃者が壊滅的なデータ侵害を引き起こすために使用する一般的な手法です。ここでは、この攻撃手法に関して知っておくべきことを説明します。
権限昇格とは、攻撃者が特権アカウント(マルウェアを展開するために使用できるアカウント)への不正アクセスを得るために用いる手法です マルウェア を展開したり、その他の悪意のある活動を行ったりするために使用されるものです。通常、攻撃者が標準ユーザーアカウントを乗っ取ることで企業ネットワークへのアクセス権を獲得した時点で始まります。内部に侵入すると、攻撃者は管理者、スーパーユーザー、その他の高権限のホストやアカウントへと権限を昇格させていきます。
垂直的特権昇格(Vertical Privilege Escalation)または特権昇格(Privilege Elevation) 攻撃者が低い特権レベルから高い特権レベルに移動するときに発生する。例えば、一般ユーザが管理者権限を得るような場合です。このテクニックは、保護されたシステム機能や機密データへのアクセスを許可し、潜在的な損害を増大させます。
水平特権のエスカレーションは、同じようなアクセス・レベルを持つ他のユーザーのピアレベルの特権やリソースにアクセスすることを含む。 このテクニックは、攻撃者が他のユーザーのデータやサービスに無許可でアクセスしたり、操作したりすることを可能にする。
これは、一般ユーザーのような限定されたアクセス権を持つ攻撃者が、脆弱性を悪用して管理者権限やルート権限といったより高いレベルの権限を獲得する場合に発生します。これは、特権の昇格の最も一般的な形態であり、重大なセキュリティリスクにつながる可能性があります。
この場合、攻撃者はシステム内で横方向に移動し、同様のアクセス権を持つ他のユーザーのリソースやアカウントにアクセスできるようになります。水平エスカレーションは、より高い特権にエスカレーションするわけではありませんが、攻撃者が他のアカウントやデータを悪用することを可能にします。
攻撃者はまず、基本的なユーザー権限でシステムに侵入することから始める。攻撃者は次のような方法でこれを達成する。 フィッシング欺瞞的な通信でユーザーを騙して認証情報を吐かせる、適切に保護されていないソフトウェアやシステムの脆弱性を悪用する、インストール後に一度も変更されていないデフォルトの認証情報を使用する、などの方法でこれを達成する。この段階での主な目標は、システム内に足がかりを築き、そこからさらなる攻撃を仕掛けるためのプラットフォームを構築することです。
システム内部に侵入すると、攻撃者はシステムの列挙と偵察を行い、環境に関する詳細な情報を収集する。攻撃者は、システム・アーキテクチャ、オペレーティング・システムのバージョン、インストールされているアプリケーション、実行中のサービス、および既存のユーザーアカウントに関するデータを収集します。この情報収集は、コマンドラインユーティリティ、システムスクリプト、ネットワークスキャンツールなどのツールによって促進され、システムの構造をマッピングし、悪用の潜在的な標的を特定するのに役立ちます。
システムの包括的な知識を得た攻撃者は、特権を拡大するために悪用できる脆弱性の特定を進める。攻撃者は、パッチが適用されていないバグや、悪用が知られている欠陥など、ソフトウェアの脆弱性を探します。また、誤った設定のサービス、不正アクセスを許す安全でないファイル・パーミッション、適切に保護されていないデフォルト設定など、設定の弱点も探し出します。さらに、推測やクラックが容易な脆弱なパスワード、複数のシステムにまたがって再利用される認証情報、傍受される可能性のある露出した認証トークンなど、認証情報の問題も評価する。
特定された脆弱性を悪用するため、攻撃者はさまざまな攻撃手法を用います。 ソフトウェアの脆弱性を悪用する際、攻撃者はバッファの境界を越えてプログラムにコードを注入することでバッファオーバーフローを引き起こしたり、信頼されているアプリケーションに悪意のあるコードを挿入してコードインジェクションを行ったりすることがあります。設定ミスを悪用するのもまた一つの戦術です。攻撃者は、不適切な権限設定によるファイルへのアクセスや改ざんを可能にする不十分なファイル権限を悪用したり、Unix/Linuxシステムにおいて、より高い権限で実行されるファイルを悪用してSUID/SGIDの脆弱性を突いたりすることがあります。
認証情報の窃取は、不正アクセスを得るために用いられる主要な手法です。攻撃者は、パスワードハッシュのダンプを行い、システムメモリやファイルからパスワードハッシュを抽出してオフラインで解読しようとする場合があります。キーロギングもまた、キーストロークを記録してパスワードやその他の機密情報を盗み出す手法です。セキュリティ対策を回避するため、攻撃者はトークンを操作し、盗んだトークンを使用してより高い権限を持つユーザーになりすますことがあります。 Windowsシステムでは、正当なダイナミックリンクライブラリ(DLL)ファイルを悪意のあるファイルに置き換えることでDLLハイジャックを行い、昇格された権限でコードを実行することがあります。ユーザーアカウント制御(UAC)の脆弱性を悪用することで、ユーザーに確認を求めることなく管理タスクを実行でき、重要なセキュリティ機能を事実上回避することになります。
これらの手法を駆使して、攻撃者はシステム内で特権を昇格させることを狙います。彼らは、特定された脆弱性を悪用するように設計された専用のスクリプトやツールを実行することで、エクスプロイトを実行します。特権昇格ペイロードを展開するには、 マルウェア を導入します。また、サービスへの攻撃も有効な手段であり、攻撃者は高い権限で実行されているサービスを標的とし、それらを操作して、さらなるアクセス権限を付与する任意のコードを実行させます。
特権の昇格に成功した後、攻撃者は、その制御を強固にし、さらなる作戦に備えるために、侵入後の活動を行います。アクセスを維持するために、攻撃者は、再起動やセキュリティ更新の後でもシステムに再侵入できるような永続的な方法をインストールすることで、バックドアを作成することがあります。管理者権限を持つ新しいユーザーアカウントを追加することで、最初のエクスプロイトに依存することなく、継続的なアクセスを確保します。
発見を避けるためには、痕跡を消すことが不可欠です。攻撃者は、イベント記録を削除または改ざんしてログを操作し、自身の活動の証拠を隠蔽します。また、フォレンジックアナリストが調査中に異常を特定できないよう、ファイルのタイムスタンプを改ざんすることもあります。特権を昇格させた攻撃者は、ネットワーク内で横方向の移動を行うことができます。ネットワークへの拡散とは、攻撃者がそのアクセス権を利用してネットワークに接続された他のシステムに侵入し、影響範囲と潜在的な被害を拡大させることを指します。攻撃者は入手した認証情報を利用して追加のリソースに侵入します。これは「認証情報の再利用」として知られる手法であり、直ちに疑念を抱かれることなく、より多くのアカウントやシステムを侵害することを可能にします。
攻撃者は権限昇格の手法を用いて、システムやネットワーク内でより高いレベルの権限への不正アクセスを獲得します。権限を昇格させることで、攻撃者は通常制限されている操作(機密データへのアクセス、マルウェアのインストールなど)を実行可能になります。 マルウェア、システム設定の変更、あるいはシステム全体の完全な制御奪取など、通常は制限されている操作を実行できるようになります。効果的なセキュリティ対策を実施するには、攻撃者がこれらの手法を用いる理由を理解することが極めて重要です。
以下は、攻撃者が特権の昇格を使用する主な理由とその方法です:
多くの組織では、権限昇格攻撃を防ぐために、複数のセキュリティ対策を組み合わせています。 Zero trustゼロトラスト、アイデンティティおよびアクセス管理(IAM)、特権アクセス管理(PAM)などが、その代表的な例です。
しかし、これらのアプローチには問題があります。いずれも単一のアクセスポイントに依存しているからです。さらに、多くの組織では特権アカウントの数が従業員数の3倍にも上り、これらすべてを管理することは不可能です。そして、一度アクセス権が与えられてしまうと、容易に悪用されてしまう恐れがあります。
権限昇格を未然に防ぐには、継続的な可視化が鍵となります。アカウントの活動を絶えず監視・分析することで、不正利用をリアルタイムで検知できます。そして、これを正確に行う唯一の方法は、AIを活用することです。
そこで、拡張脅威検知とレスポンス 。Vectra AIは、ネットワーク、アイデンティティ、およびパブリッククラウドにわたる特権関連の異常な活動を特定するために、AI主導 の数十の検出を使用します。これらの検出は、異常ではなく 、実際の攻撃者の振る舞いに焦点を当てています。AWSやEntra ID上の異常なリクエストから不審なサービスリクエストまで、攻撃者が特権の昇格を試みていることを防御側に示すために、それぞれが自動的に相関、分析、検証、トリアージされます。
