Zscaler ITDR™によるサイバー防御の強化

現代のサイバー攻撃は多様化しており、さまざまなツールや手法を使用して、複数の侵入口を狙っています。なかでもランサムウェアは依然として組織にとって最大の脅威の一つとなっています。脅威アクターはアイデンティティーベースの攻撃などの新たな手法を継続的に取り入れており、状況は悪化の一途をたどっています。アイデンティティーベースの攻撃は、ランサムウェア攻撃の拡大を加速させています。これは、攻撃者がたった一つの攻撃経路から千載一遇のチャンスを得られるためです。

サイバー攻撃者は今、アイデンティティーを狙っているのです。

アイデンティティーの侵害

ランサムウェアなどの脅威には、多くの場合、アイデンティティーベース攻撃手法が使用されています。通常、攻撃者は組織内のより収益性の高い標的にすばやく移動し、短時間で検出されることを回避するためにアイデンティティー攻撃の手法(ラテラル ムーブメントや有効な認証情報の侵害など)を用います。

脅威アクターは、ターゲットの環境に足場を築くために、組織のActive Directory (およびAzure ADアカウント)を狙っています。サイバー犯罪者がアイデンティティーにアクセスする方法にはさまざまなものがあります。複数の認証情報を持つデータベースへの侵入には、多くの場合、漏洩したパスワードや盗まれたパスワードが使用されます。実際、未だ全サイバー攻撃の80％がパスワードを主な糸口としており、セキュリティ専門家の間で懸念が高まっています。ハッカーは、自動化スクリプトを使用して、盗んだユーザー名とパスワードをさまざまな組み合わせで試し、ターゲットのアカウントを乗っ取ろうとします。アカウントを侵害されたユーザーは、詐欺、アイデンティティーの窃取、不正な金融取引などといった犯罪の被害に遭う可能性があります。

アイデンティティー攻撃の例として、Kerberoastingが挙げられます。これは、有効なActive Directory (AD)の認証情報を入手する手法です。より高度な特権を持ち、長期にわたる潜伏が可能になるため、Kerberoasting攻撃ではADサービス アカウントが標的となります。また、Kerberoasting攻撃は日常的なテレメトリーからの検知が難しいことでも知られており、サイバー犯罪者にとってはより魅力的な手法となっています。漏洩したパスワードは、データベースの侵害とエンドポイントでのデータの抜き取りに使用されます。アイデンティティー管理ツールではこれらのインシデントを検知できないため、セキュリティ部門が認証情報の侵害やパスワードの漏洩について知る術はありません。

サイバー攻撃の拡大要因となるラテラル ムーブメント

ユーザーやアイデンティティーの侵害後、攻撃者は盗んだ認証情報をユーザー認証を担うアイデンティティー プロバイダーで利用し、ラテラル ムーブメントを開始します。ラテラル ムーブメントが重大なアイデンティティー脅威となるのはそのためです。攻撃者は盗んだユーザー認証情報を利用できるだけでなく、不正侵入したマシンから別の認証情報も引き出せるため、同じ環境内の複数のマシンにログインできるほか、ランサムウェア ペイロードを配布したり、複数のマシンを一斉に暗号化したりすることも可能です。

多くの場合、セキュリティ部門は十分な可視性を備えておらず、環境内で発生するこうしたインシデントすべてを検知または警告するためのツールも持ち合わせていません。ADの侵害は野放しの状態となっており、憂慮すべき状況です。サービス アカウントは高度な権限を持っていることが多く、このアカウントを侵害することで、ほとんど検知されることなくラテラル ムーブメントを実行し、複数のマシンやシステムに簡単にアクセスできるため、攻撃者はサービス アカウントの侵害機会を絶え間なく狙っています。

アイデンティティーのセキュリティ ギャップの解消

アイデンティティーの不正利用は侵害の糸口として最も一般的なため、多くの場合、アイデンティティー脅威を検知できれば、侵害の最初の警告として生かすことができます。Zscaler ITDR^TMでは、そうした早期の重要な兆候の検知が可能です。Zscaler ITDRは、セキュリティ部門がアイデンティティー管理システムに求める可視性と保護機能を提供します。アイデンティティーベースの攻撃を検出し、認証情報の異常な使用、権限昇格の試行、ラテラル ムーブメントを特定できます。

実用的なインサイトによるリスクの軽減と対応の改善

Zscaler ITDRは、管理対象外のアイデンティティー、設定ミス、さらには認証情報の乱用など、見過ごされがちな隠れたリスクを自動的にあぶり出します。可視性と自律的な対応機能を提供すると同時に、ADの設定ミス、脆弱性、アクティブな脅威をリアル タイムで継続的に評価し、お客様のAD環境のリスクやセキュリティ ギャップを解消するための行動に関するガイダンスを提供します。

そして、問題の原因となっているアイデンティティーを制限または停止し、組織が大きな損害を受ける前に脅威を阻止することが可能です。また、攻撃者を欺き、意図せぬ方向やデコイに誘導する機能で対応することもできます。たとえば、アイデンティティーベースの攻撃を検知した際、Zscaler Deceptionを使用することで、偽のデータを提供して攻撃者をデコイへとリダイレクトし、おびき寄せることができます。Zscalerは、本番環境の資産を模したデコイ システムとデータで構成されるデセプション環境を用意したうえで、攻撃者を本人が意図せぬ方向に誘導して接触し、攻撃の戦術、技術、手順(TTP)に関する情報を収集します。Zscalerは、アイデンティティーベースの攻撃に利用されている侵害されたシステムを他の環境から自動的に隔離し、接続先をデコイ環境のみに制限します。

また、Zscaler ITDRは、Zscaler Zero Trust Exchangeに統合されています。Zero Trust Exchangeは、アイデンティティー攻撃が検知されると、動的にアクセス ポリシー制御を適用し、危険なユーザーをブロックします。これにより、システム間でのラテラル ムーブメントを阻止し、ランサムウェアの拡散も防止します。

まとめ

侵害は避けられるものではなく、予防的なセキュリティ対策をとっても十分とは言えませんが、Zscalerを利用することで、アイデンティティー攻撃に対するサイバー防御スタックを強化することが可能です。Zscaler ITDRは、単一の画面で完全な可視性を提供し、ランサムウェアや高度なアイデンティティー攻撃など、サイバーセキュリティ環境における新たなアイデンティティー脅威をセキュリティ部門がリアルタイムで検知して対応できるよう支援します。

ITDRテクノロジーについての詳細はこちらをご覧ください。