Last Updated on 2024-07-03 08:08 by admin

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）とマルチステート情報共有・分析センター（MS-ISAC）は、ある州政府機関のネットワークが、元従業員の管理者アカウントを介して侵害されたことを明らかにした。このアカウントを使用して、内部の仮想プライベートネットワーク（VPN）アクセスポイントに正常に認証し、攻撃者は正規のトラフィックに紛れて検出を回避する意図でVPNを介して仮想マシンに接続した。攻撃者は、公開されたアカウント情報が含まれる公開チャネルで資格情報が見つかったことにより、これらの資格情報を取得したと見られる。

この管理者アカウントは、仮想化されたSharePointサーバーへのアクセスを提供し、攻撃者がサーバー内に保存されていた別の資格情報セットにアクセスすることを可能にした。これらの資格情報には、オンプレミスネットワークとAzure Active Directory（現在はMicrosoft Entra IDと呼ばれる）の両方に対する管理権限が含まれていた。これにより、攻撃者は被害者のオンプレミス環境を探索し、ドメインコントローラーに対してさまざまな軽量ディレクトリアクセスプロトコル（LDAP）クエリを実行することができた。

攻撃者は最終的にホストとユーザー情報にアクセスし、おそらく金銭的利益のためにダークウェブ上に情報を投稿した。この事件を受けて、該当機関はすべてのユーザーのパスワードをリセットし、管理者アカウントを無効化し、2番目のアカウントの権限を削除した。なお、これら2つのアカウントには多要素認証（MFA）が有効になっていなかった。攻撃者は、Active Directory（AD）から適切に削除されていない元従業員を含む有効なアカウントを利用して、組織への不正アクセスを図ることが指摘されている。

【ニュース解説】

ある州政府機関のネットワークが、元従業員の管理者アカウントを介して侵害された事件が発生しました。このアカウントを利用して、攻撃者は内部の仮想プライベートネットワーク（VPN）に正常にアクセスし、正規のトラフィックに紛れて検出を回避しながら活動を行いました。攻撃者がこのアカウントの資格情報を手に入れたのは、別のデータ侵害により資格情報が公開されたためと見られています。

この管理者アカウントは、仮想化されたSharePointサーバーへのアクセス権を持っており、攻撃者はこのサーバー内に保存されていた別の資格情報セットにアクセスしました。これらの資格情報には、オンプレミスネットワークとAzure Active Directory（現在はMicrosoft Entra IDと呼ばれる）への管理権限が含まれていました。これにより、攻撃者は被害者のオンプレミス環境を探索し、ドメインコントローラーに対して軽量ディレクトリアクセスプロトコル（LDAP）クエリを実行することが可能になりました。

攻撃者は最終的にホストとユーザー情報にアクセスし、これをダークウェブ上に投稿しました。これは、金銭的利益を目的とした行動と見られています。この事件を受けて、該当機関はすべてのユーザーのパスワードをリセットし、管理者アカウントを無効化し、2番目のアカウントの権限を削除しました。重要な点として、これら2つのアカウントには多要素認証（MFA）が有効になっていなかったことが指摘されています。

この事件は、元従業員のアカウントが適切に管理されていないことが、組織のセキュリティ侵害につながるリスクがあることを示しています。また、多要素認証（MFA）の重要性や、最小権限の原則の適用、オンプレミスとクラウド環境へのアクセスを分離するための別々の管理者アカウントの作成など、セキュリティ対策の強化が必要であることを強調しています。

このような事件は、組織がセキュリティ対策を見直し、特にアカウント管理やアクセス権限の管理において、より厳格なポリシーを実施するきっかけとなります。また、セキュリティ教育の強化や、定期的なセキュリティ監査の実施も重要です。将来的には、より高度な認証方法の導入や、AI技術を活用した異常行動の検出など、新たなセキュリティ技術の開発と適用が期待されます。

from U.S. State Government Network Breached via Former Employee's Account.

admin

See Full Bio