ダークウェブで発見された州政府機関情報、CISAが警鐘を鳴らす

Last Updated on 2024-02-20 08:36 by 荒木 啓介

CISA（サイバーセキュリティ・インフラストラクチャー・セキュリティ庁）は、ある州政府機関のネットワーク環境に関するホストとユーザー情報、メタデータを含む文書がダークウェブのブローカーサイトで発見された後、サイバーセキュリティに関するアドバイザリーを発行した。攻撃者は、組織の元従業員のアカウントを通じてネットワーク管理者の認証情報を侵害し、内部の仮想プライベートネットワーク（VPN）アクセスポイントに認証し、被害者のオンプレミス環境をさらにナビゲートし、ドメインコントローラーに対して様々な軽量ディレクトリアクセスプロトコル（LDAP）クエリを実行した。CISAは、このアカウントの詳細がデータ侵害を通じて攻撃者の手に渡ったと疑っている。問題は、従業員が退職した際にアカウントが無効化されていなかったために発生した。しかし、アカウントは依然としてSharePointとワークステーションを含む2つの仮想化サーバーへの管理権限を持っていた。

インシデント対応者のログによると、攻撃者は最初に未知の仮想マシン（VM）からインターネットプロトコル（IP）アドレスを介して被害者のオンプレミス環境に接続した。SharePointサーバー上で、攻撃者はサーバーにローカルに保存されていたグローバルドメイン管理者の認証情報を取得した。このアカウントは、攻撃者にオンプレミスのActive Directory（AD）およびAzure ADへのアクセスも提供した。攻撃者はLDAPクエリを実行して、ユーザー、ホスト、および信頼関係情報を収集した。これらのクエリの結果は、販売のために提供された情報の中にあったと考えられている。

対策アドバイスとして、従業員が退職した際にすぐにすべてのアカウントを削除する理由がいくつかあるかもしれないが、少なくともできるだけ早くその特権を削除し、パスワードを変更するべきである。CISAのアドバイザリーは、ユーザーアカウントに関するいくつかのアドバイスをリストしている：現在の管理者アカウントを見直し、ネットワーク管理に不可欠なもののみを維持する。1人のユーザーに対して複数の管理者アカウントの使用を制限する。オンプレミスとAzure環境のために別々の管理者アカウントを作成し、アクセスをセグメント化する。最小権限の原則を実装し、必要なものにのみアクセスを許可する。タスクが完了した後は特権を取り消すことが理にかなっている。フィッシングに抵抗する多要素認証（MFA）を使用する。現在広く利用可能なフィッシングに抵抗する認証はFIDO/WebAuthn認証である。

【ニュース解説】

ある州政府機関のネットワーク環境に関する情報がダークウェブで発見されたことを受け、CISA（サイバーセキュリティ・インフラストラクチャー・セキュリティ庁）はサイバーセキュリティに関するアドバイザリーを発行しました。この事件では、組織の元従業員のアカウントを通じてネットワーク管理者の認証情報が侵害され、攻撃者が内部ネットワークにアクセスし、重要な情報を収集したことが明らかになりました。

この事件は、従業員が退職した後もアカウントが適切に管理されていなかったことが原因で発生しました。攻撃者は、依然としてアクセス権を持つアカウントを利用して、組織の内部ネットワークに侵入し、重要な情報を盗み出すことができました。

このような事態を防ぐために、CISAはいくつかの対策アドバイスを提供しています。その中には、不要な管理者アカウントの削除、管理者アカウントの使用制限、オンプレミスとAzure環境のための別々の管理者アカウントの作成、最小権限の原則の実装、フィッシングに抵抗する多要素認証（MFA）の使用などが含まれます。

この事件から学ぶべき重要な教訓は、組織内のアカウント管理がいかに重要であるかということです。特に、従業員が退職した際には、その人物のアカウントを迅速に無効化し、必要な場合はパスワードを変更することが重要です。また、管理者アカウントの権限を厳格に管理し、必要最小限のアクセス権限のみを付与することで、不正アクセスのリスクを低減できます。

この事件は、サイバーセキュリティ対策の重要性を改めて浮き彫りにしました。組織は、アカウント管理、資産管理、パッチ管理、監視とログ管理など、包括的なセキュリティ対策を講じることが不可欠です。これにより、潜在的な脅威から組織を守り、重要な情報の漏洩を防ぐことができます。

from Why keeping track of user accounts is important.