特権アカウントの悪用により、サイバーセキュリティの最前線

サイバー脅威のエキスパートは、今日の最も危険な
標的型サイバーセキュリティ侵害のほとんどを支配
している明確な 1 つの共通パターンを探し出すのに
余念がありません。
脅威レポート
特権アカウントの悪用により、
サイバーセキュリティの
最前線がシフト
協力企業
Cisco Talos Security Intelligence and Research Group
Deloitte Financial Advisory Service LLP – Computer and Cyber Forensics Team
Deloitte & Touche LLP – Cyber Risk Services
Mandiant（FireEye 傘下企業）
RSA（EMC セキュリティ部門）
Verizon RISK Team（Verizon Enterprise Solutions）
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
世界トップクラスの
各サイバー脅威調査会社は、
今日の非常に危険な標的型攻撃や
情報セキュリティ侵害に見られる
共通点を明らかにしました。それは、
特権アカウントの悪用です。
特権アカウントには機密データおよび IT システムを広範に制御できる権限が
付与されています。特権アカウントはどの組織でも数多く使われていますが、
見過ごされることも多く、悪意ある者にとっては強力な武器になり得ます。
主要なセキュリティエキスパートは今、標的型サイバー攻撃において、特権
アカウントが広く悪用され、その悪用方法が高度化していると報告しています。
調査にご協力いただいたエキスパート諸氏に感謝します。
Craig Williams - シニアテクニカルリーダー兼セキュリティアウトリーチマネージャー
Cisco Talos Security Intelligence and Research Group
Michael C. Weil - ディレクター、コンピュータおよびサイバーフォレンジックリーダー
Deloitte Financial Advisory Service LLP – Computer and Cyber Forensics Team
Timothy B. Spiker Sr. - サイバーリスクサービス担当マネージャー
Deloitte & Touche LLP – Cyber Risk Services
CyberArk の委託に
よる本調査レポートは、
サイバー攻撃の調査お
よび修復分野での世界
Jim Aldridge - シニアマネージャー
Mandiant（FireEye 傘下企業）
トップ企業へのインタ
Peter M. Tran - Worldwide Advanced Cyber Defense Practice 担当シニアディレクター
RSA（EMC セキュリティ部門）
Christopher Novak - 調査対応担当グローバルマネージングプリンシパル
Verizon RISK Team、Verizon Enterprise Solutions
2
ビューを基に作成され
たものです。インタ
ビューは 2014 年 7 ∼
10 月に実施されました。
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
情報セキュリティエキスパートは、組織を防衛するための戦いの場が
シフトしたことを認識しています。前線はもはやネットワーク境界では
なく、企業の内部、ネットワークの内側です。ほとんどの大企業や政府
機関では、サイバー攻撃者による侵入が絶えず、ほぼあたりまえのもの
になっています。この重大な現実のため、2012 年には当時の FBI 長官
ロバート・ミュラーが次のような声明を出すに至りました。「企業には
2 種類しかない。すでにハッキングされた企業と、これからハッキング
される企業だ。さらに、この 2 つは、すでにハッキングされ、再度
ハッキングされるであろうという 1 つのカテゴリーに集約される。」1
Ponemon Institute の調査では、対象組織の 90% が 1 回以上
• 悪意あるサイバーアクティビティにより、世界中の組織で年間
3000 億ドルから 1 兆ドルの損害が発生しています。2
侵害を受けたことがあると答え、59% は 1 年以内に 2 回以上侵
害されたとしています。サイバー攻撃は、一般化したばかりでなく、
• 悪意ある、または犯罪的なサイバー攻撃は世界中でデータ侵害
の最大の原因になっており、データ損失の 42% を占めていま
Home Depot、JPMorgan Chase、Kmart Staples、Target の情
報漏えい事例からわかるように甚大な経済的被害を与えるものと
す。また、サイバー攻撃は最も経済的損害の大きいタイプのデー
なっています。
タ侵害の原因でもあり、世界中で 1 人あたり 159 ドルの損失
をもたらしています。3
3
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
• 世界中の企業が、各セキュリティインシデントの調査、修復、
および当事者への通知に 2013 年は平均 350 万ドルを費やし
ており、その金額は 2012 年から 15% 増加しています。4
• サイバー諜報活動およびサイバー犯罪により、米国だけで
50 万以上の職が失われている可能性があります。6
1
Cowley, Stacy. FBI Director: Cybercrime Will Eclipse
Terrorism. CNN Money（2012 年 3 月 2 日）
2
Center for Strategic and International Studies, sponsored by
McAfee. The Economic Impact of Cybercrime and Cyber
Espionage. （2013 年 7 月）5 ページ
3
Ponemon Institute, sponsored by IBM. The Economic
Impact of Cybercrime and Cyber Espionage. （2014 年 5 月）
8 ページ
4
Ponemon Institute, sponsored by IBM. The Economic
Impact of Cybercrime and Cyber Espionage. （2014 年 5 月）
2 ページ
5
Center for Strategic and International Studies, sponsored by
McAfee. The Economic Impact of Cybercrime and Cyber
Espionage. （2013 年 7 月）17 ページ
さまざまな悪意あるサイバー攻撃の中で、最大の脅威、そして最
も深刻な情報損失は、決まって標的型攻撃によるものです。標的
型攻撃は、企業や政府機関の価値の高い情報やテクノロジーシス
テムに侵入するために各組織に合わせて設計される複雑なハッキ
ングです。標的型攻撃では個別の組織の弱点が利用されるため、
広範な事例に当てはまる攻撃パターンを発見することは困難です。
しかし、ほとんどの標的型攻撃に見られる 1 つのパターンがあり
ます。それが、特権アカウントの悪用です。
特権アカウントは、サーバー、デスクトップ PC、アプリケーション、
データベース、ネットワーク機器等のすべての情報テクノロジーに
含まれています。IT 管理者には、特権アカウントによって強力な
制御権が付与されます。その他のタイプの特権アカウントでは、
制限付きのユーザーグループに、機密のビジネス機能に対する
特殊なアクセス権が付与されます。たとえば、会計部門には制限
付きの財務データへのアクセス権が、監視アプリケーションには、
広範囲なデータベースへの無制限のアクセス権が付与されている
ことがあります。特権アカウントは、専門の職務を果たす必要があ
る、権限を持つ従業員やマシンにかなりの裁量の余地をもたらし
ます。この高レベルなタイプのアカウントには大きな権限と裁量
が与えられるため、悪意ある者にとってはこれらのアカウントが強
力な武器になり得ます。
4
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
サイバー攻撃で悪用される特権アカウント
サイバーセキュリティ企業である CyberArk 社の委託により実施された
今回の調査では、標的型攻撃の大半で特権アカウントが悪用されて
いることが明らかになりました。特権アカウントを利用すると、攻撃を
すばやく簡単に進めることができ、検出されるリスクも低くなります。
さらに、攻撃者が自らのアクティビティの証拠を破壊したり、さまざま
なアクセスポイントやバックドアを確立したりできるため、攻撃者を
社内ネットワークから締め出すことはほぼ不可能です。
標的型サイバー攻撃のほとんどは公表されていませんが、攻撃の
は 30 日以内です。攻撃者はさまざまな手法を駆使して自らの
手口を明らかにするため、CyberArk 社は、Global 1000 の企業
のサイバー攻撃調査と修復を手掛けるサイバーセキュリティの
痕跡を隠しますが、よく使われるテクニックは、不正なアクティ
ビティを示すログデータなどの証拠を特権アカウントを使用し
エキスパート企業へのインタビュー形式で調査を実施しました。
て削除するというものです。
インタビューした企業は、Cisco Talos Security Intelligece and
Research Group、Deloitte & Touche LLP の Cyber Risk
4. 攻撃者が欲しいのは特権アクセス: ほとんどの標的型サイバー
攻撃で特権アカウントが悪用されています。セキュリティイン
Services、Deloitte Financial Advisory Service LLP の Computer
and Cyber Forensics Team、FireEye 傘下企業の Mandiant、
および EMC のセキュリティ部門である RSA の Advanced Cyber
Defense team、Verizon Enterprise Solutions の Verizon RISK
Team です。これらの企業へのインタビューから、公に報告されて
シデントについて回答したトップ企業は、調査した深刻なセ
キュリティインシデントの 80%、あるいはほぼすべてで、攻
撃プロセス中に特権アカウントが侵害あるいは悪用されたとい
う調査結果となっています。
いないインシデントも含め、標的型サイバー攻撃で特権アカウン
5. 過小評価されている特権アカウント: 特権アカウントに起因する
トがどの程度侵害および悪用されているかについての洞察が得ら
リスクおよびセキュリティ上の脆弱性は、ほとんどの企業の認
れました。CyberArk の調査インタビューの主な結果は以下のとお
識をはるか超える大きなものです。本レポートの作成にあたり、
りです。
インタビューしたサイバー脅威の調査員は、特権アカウントの
侵害によって生じる危険を企業が過小評価する傾向があると考
1. 誰も安全ではない: 現在ではどの企業も標的になる可能性があ
えています。CyberArk が調査したところ、一般的な組織には
ります。サイバー攻撃者は攻撃対象を広げていて、さまざまな
従業員数の少なくとも 3 ∼ 4 倍の特権アカウントが存在する
業界であらゆる規模の企業を攻撃しています。サイバー脅威
ことが判明しました。
の調査員らの経験では、攻撃者がサプライチェーンパート
ナーへの信頼されたアクセスを取得するための単なる手段とし
6. 高度化する攻撃者による特権アクセスの悪用: 攻撃者は特権ア
て企業を標的にしたケースさえあったといいます。
カウントを利用して以前よりも広範なシステムに侵入しており、
ネットワークから撃退することが困難になっています。セキュリ
2. 攻撃者は内部に侵入: 最も可能性の高い侵入ポイントは、組織
ティ調査の担当者らは、IoT（Internet of Things モノのインター
ネット）の組み込みデバイスのハッキングから、Microsoft
の従業員によるものです。フィッシング攻撃が高度化しているた
め、従業員のログインが、ネットワークまたはソフトウェアを悪
Active Directory で複数の特権 ID を確立してさまざまなアク
用するよりもはるかに簡単な侵入ポイントになっています。
セスポイントを確保する手口まで、特権アカウントのさまざま
な悪用方法が報告されています。
3. 攻撃者は数カ月、時には何年にもわたって内部に潜伏: サイ
バー調査のエキスパートたちは、ほとんどの攻撃が最終的に
検知されるまで 200 日以上継続していることに気づきました。
金銭目的の攻撃は検知までの期間がそれよりずっと短く、通常
5
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
調査結果 1: 誰も安全ではない
かつては、銀行、あるいはクレジットカードの決済業者、もしは、
武器の製造業者でもない限り、サイバー攻撃者の標的になること
はありませんでした。今は、誰も安全ではありません。「すべての
企業には、守るに値し、攻撃者が欲する情報が存在します。今日
のように複雑にビジネスが連携する環境においては、すべての企
業が標的となりえます。」（Cisco Talos Security Intelligence and
Research Group のトップセキュリティ調査員、Craig Williams 氏）
本レポートの作成にあたり、インタビューしたサイバー脅威調査員
イプラインや石油掘削装置用に購入されたパイプのタイプとサイ
によると、攻撃者は小売、マスコミ、エネルギー、製造、IT サー
ズに関する情報を入手しました。また、攻撃者はパイプ製造会社
ビスなどが攻撃対象の範疇となっています。企業が標的として選
のビジネスパートナー、特に大手ホームセンターチェーンのサ
ばれるのは、サイバー諜報活動のため、または盗み取ったデータ
プライチェーン管理システムに侵入する機会もうかがっていたよう
を現金化して金銭的利益を得るためです。ただし、サプライチェー
です。
ンパートナーを狙う攻撃者が、その単なる手段として企業を攻撃
中小企業の IT システムは、大企業より遅れているため、容易に侵
する場合もあります。
害されやすいと推測されます。攻撃者は、よりセキュリティが強固
な大企業のネットワークにアクセスする手段として、中小企業が有
たとえば、あるセキュリティ調査員は、パイプおよび配管部品の大
手製造会社に対するサイバー攻撃について述べています。フォレ
するアクセス権を悪用するために、中小企業を標的にすることが
ンジック調査で得た証拠によると、攻撃者はパイプ製造会社の顧
あるとしています。そのため脅威調査員らは、運送会社や、経営
客の情報を収集する目的でその会社の IT システムを侵害したと推
測されます。攻撃者は販売インボイスを通じて、特定の顧客のパ
コンサルタントから監査、法廷弁護士までのさまざまな専門サー
ビス会社など、従来とは異なる標的への攻撃を追跡してきました。
6
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
調査結果 2: 攻撃者は内部に侵入
堅固な意思と高いスキルを持つサイバー攻撃者の企業ネットワー
クへの侵入を阻止することはおそらく不可能であるということは、
サイバー脅威の調査員の一致した見解です。標的型攻撃では、
攻撃者は被害者の IT 環境およびセキュリティツールを徹底的に
調査し、偵察します。内部に侵入するために、パッチが適用され
ていないソフトウェアや適切に構成されていないサーバーなどの
技術的な脆弱性を探します。
まれに欠陥が見つからない場合でも、攻撃者はウイルス対策ソフ
本レポートの作成にあたり、インタビューしたサイバー脅威調査員
トウェアやファイアウォールなどの境界セキュリティツールを迂回
によると、フィッシングやソーシャルエンジニアリングの手口が高
できるようにマルウェアのコードをカスタマイズできます。ほかが
度化し、信頼できそうに見えるようになったといいます。「攻撃者
すべて失敗しても、まれにある「ゼロデイ」の脆弱性を悪用でき
が 20 や 30 のフィッシングメールを送信すれば、かなりの確率
ます。ゼロデイとは、アプリケーションやコンピュータシステムに
で企業のネットワークに侵入できます。フィッシング攻撃はそこま
もともと内在する未解決の脆弱性です。
で高度になっています。免れられる企業はありません」（Verizon
の Christopher Novak 氏）
「誰でもゼロデイの脆弱性のことを考えますが、現実に蔓延するパ
ターンで悪用されることはめったにありません。ゼロデイはとても
RSA のインシデントレスポンスリードの Peter Tran 氏が、詳細
貴重なため、攻撃者がそれらを利用する手口は非常に限られてい
な例を示しています。「私たちはオンラインの人格をでっち上げ、
ます。耳にするゼロデイ 1 件につき、はるかに悪用されやすい既
ガンの治療法を研究している博士や、防衛システム用の新しいレー
知の脆弱性が数百万も存在するのです」（Cisco の Craig
Williams 氏）
ザーモジュールを開発しているエンジニアのふりをしました。これ
は、先進的な攻撃者をおびき寄せるためのソーシャルメディア上
のハニーポットです。どのようなタイプの問い合わせが届くかを調
脅威調査員らは、攻撃者がネットワークではなく人を経由して不正
べて、その手口を学びました....すると、攻撃者の手口が非常に巧
に侵入する場合が多くなっていると報告しています。誤って与えら
妙であることがわかりました。攻撃者はリクルーターになりすまし、
れた個人の信用を利用する侵入テクニックは、多くの場合ネット
シニアエンジニアやビジネスマネージャーなどの価値の高い標
ワークまたはソフトウェアの脆弱性を悪用するよりも容易に実行で
的に手を伸ばしてきます。ソーシャルメディアを使って貴重なイン
きます。「総当たり攻撃や辞書攻撃よりもフィッシングの方が簡単
サイダーとの対話を始め、時間をかけて関係を深めていくのです。
に環境に侵入できます。攻撃者は IT 部門の認証情報をほしがる
か、社内でランクの高い個人を標的にします。通常、それらのユー
私たちが観察したところでは、[攻撃者は] 相手をだまして必要な
侵入ポイントを獲得できるほどの説得力を持っています」
ザーは信頼されているため、相対的に制約の少ないアクセス権を
付与されています。また、IT 部門によって厳密に監視されてもい
ません」（調査の回答者である Verizon RISK Team の調査対応担
当グローバルマネージングプリンシパル、Christopher Novak 氏）
7
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
調査結果 3: 攻撃者は数カ月、場合によっては何年に
もわたって潜伏
本レポートの作成にあたり、インタビューしたサイバー脅威の調査員は、
多くの場合、サイバー攻撃が発見されるまでに数カ月、場合によっては
何年も続いていたという証拠を見つけています。調査員らの推定では、
クライアントが問題を検知して助けを求めるまでに平均で 6 ∼ 8 カ月かか
ります。この推定期間は、Mandiant が公表した調査結果に一致しています。
Mandiant の調査では、攻撃者がクライアントのネットワーク内に潜んで
発見されるまでの平均日数を 229 日としています。6
インタビューしたエキスパートの 1 人によると、脅威の調査チー
ムは、何年も発見されなかった脅威の複数例を知っています。最
織のユーザーに特有の、受け入れられる行動パターンを組織が把
長では7年に及ぶものを取り扱ったことがあります。サイバー攻撃
らの逸脱をセキュリティチームが見分け、異常な行動が不正な活
がそれほど長い間発見されない理由は一般に、被害者の組織が
動の徴候かどうかを分析する必要があります。
握する必要があります。その後、受け入れられる標準パターンか
プロアクティブに問題を探さないことです。自らを魅力的な標的と
持続的な侵入の多くのケース（攻撃者がネットワークに長期間潜
は考えていないため、無理もないことです。「食料品店チェーンの
伏しようとする事例）では、サイバー犯罪者は多大な労力を費や
サプライチェーンに、侵入者が何年も潜んでいたことが判明しま
して自らの痕跡を隠します。「標的型の侵入では、ほとんどの攻撃
した。原因の 1 つは、現実を直視しなかったことにあります。つ
まり、自分たちが誰かの標的になるとは考えてもいなかったので
者は侵害するシステムの大半にマルウェアをインストールしませ
ん。不要な痕跡を残したくないからです。それに、すでにネットワー
す。しかし、最近の攻撃者は決済カードの入手を試みるだけでなく、
クに自由にアクセスしてシステムへの特権アクセスを取得している
ビジネス情報を求めています。事業の詳細な経営方法や、サプラ
なら、バックドアをインストールする必要はありません。必要なと
イチェーンの効率改善方法に関する企業秘密は、非常に価値が
高く、重要なものなのです」（RSA の Peter Tran 氏）
きにいつでも入ったり出たりできるのです。マルウェアは、自分を
多くの場合、データ侵害を発見するのは攻撃された企業自体では
立たないようにして、システム内で正当なユーザーのように見せ
ありません。「私たちが扱った多くのケースで、FBI 等の連邦政府
かけることです。私たちが調査したある攻撃では、バックドアに感
機関が、被害企業に対して、その企業のデータを流出情報から入
染したシステムは 1 つだけでしたが、たった 1 つの脆弱性のた
めに貴重なデータを失ってしまったのです...攻撃者が、特権アクセ
見つけやすくする可能性がある痕跡を残すだけです。目標は、目
手したことを通知しています。」（Deloitte のインシデント対応スペ
シャリスト）同様に、Mandiant による脅威の調査では、2013 年
スなしに、
このような行為を実施することは、非常に困難な事です。
」
（Mandiant のインベスティゲーションリード、Jim Aldridge 氏）
のセキュリティ侵害のうち、攻撃された企業によって特定されたも
のはわずか 3 分の 1 だったことが判明しました。残りの 3 分の 2
は外部からの通知でした。7
「企業は、配備したどのセキュリティツールでもアラートがトリガ
されなかったため、自分が攻撃されていることに気づきません。
攻撃者は企業の検知メカニズムを迂回します。SIEM のアラート
6
Mandiant, a FireEye Company. M-Trends 2014: Beyond
the Breach. （2014 年 4 月）1 ページ
7
Mandiant, a FireEye Company. M-Trends 2014: Beyond
the Breach. （2014 年 4 月）3 ページ
を待っていたら、
（ダメージを止めるには）発見が間に合いません。
プロアクティブに攻撃を探す必要があります」（RSA の Peter Tran
氏）隠れた脅威を探し出すには、人間とマシンの両方を含め、組
8
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
調査結果 4: 攻撃者が欲しいのは特権アクセス
サイバｰ脅威調査員のレポートによると、標的サイバー攻撃やその
他の悪意あるサイバー犯罪において、犯罪者が好んで利用するの
が特権アカウントです。インタビューしたセキュリティスペシャリ
ストの推定では、調査した深刻なサイバー攻撃の 80% あるいは
「ほぼすべて」で、攻撃プロセスの中で特権アカウントが悪用され
ています。
特権アカウントの侵害や悪用は、標的型サイバー攻撃に共通する
「私が対応した標的型攻撃のほとんどで、攻撃者が何らかの形の
数少ないパターンの 1 つです。Deloitte の脅威調査員は、こう説
明しています。「特権アカウントは攻撃者が行きたいところに制約
特権アクセスを取得していました。攻撃者は特権アカウントを手に
入れたがります。特権アカウントがネットワーク内を気づかれずに
自由に動き回るための最も簡単な方法だからです。パッチが適用
なく行ける通行許可証のようなものです。邪魔されずにネットワー
されていないソフトウェアの脆弱性を悪用しても、社内システムに
ク内を移動できるのです.... ほとんどの場合、[攻撃者は] データの
侵入できるでしょう。そのような脆弱性は必ず存在します。しかし、
盗み出しを企てますが、特権認証情報を入手すればたいてい成功
特権ログインを使えば労力も時間も大幅に節約できます。正当な
します。攻撃者が自分の痕跡を隠せるので、検知したり阻止した
認証情報を使用すれば、最初の侵入ポイントからネットワーク内
りするのは容易ではありません。攻撃者が特権アクセスを取得し
に進み、目的のデータが存在するシステムに到達できます。一旦、
た時点で、サイバー・キルチェーンが完成したことになります。
」
社内システムへのアクセスを取得すれば、特権アカウントを利用し
てより早く他のシステムに到達できるばかりでなく、検知されるリ
スクも低下します。」（Mandiant の Jim Aldridge 氏）
通行許可証
脅威調査のエキスパートたちは、
特権アカウントへの不正アクセスとは、
つまりこのようなものを手に入れるの
と同じことだとしています。
ゴールデンチケット
王国への鍵
フリーパス
IT の合鍵
9
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
調査結果 5: 過小評価されている特権アカウント
脅威調査員は、特権アカウントの悪用によるサイバー攻撃が頻発する現状に
おいて、企業がどの機密情報あるいは IT システムにどのユーザーがアクセ
ス権を有しているかを把握することが必須となるとしています。企業ネット
ワークの複雑さ、企業データおよび、クラウド、モバイル、ソーシャルネット
ワーク環境におけるアプリケーションの急増する中、特権アカウントの追跡、
監視は容易なことではありません。
3倍
4倍
本レポートの作成にあたり、インタビューした脅威調査員によると、
多くの企業は、自社の宝と言うべき重要な情報の正確な内容
通常では、
企業には
従業員数の
3、4 倍以上の
特権アカウント
があります。
や数量だけでなく、誇りとなる情報資産へのアクセス権を有する
従業員およびテクノロジーシステムの把握もできていません。実
際、多くの企業はおそらく自社の特権アカウントがいくつあってど
のシステムに置かれているかを知らないでしょう。組織が IT イン
フラストラクチャを追加し続けるにつれ、特権アカウントの数も本
質的に増えていきます。CyberArk 社のデータでは、概ね従業員
数の少なくとも 3 ∼ 4 倍の特権アカウントが企業に存在している
ことを示唆しています。
特権アカウントの多くは、人ではなくネットワーク機器に付与され
ています。IT 部門はソフトウェアアプリケーションやコンピューティ
ング機器へのマシン間でのアクセスを可能にする「サービスアカ
ウント」をセットアップします。システム間の相互依存が断たれる
リスクを最小化するため、IT 管理者がサービスアカウントに幅広
いアクセス権を付与することがよくあります。そのアカウントが接
続する必要があるシステムだけでなく、社内の任意のコンピュー
タに接続できるようにする場合さえあります。このような状況が、
監視されることもなく、時には忘れ去られている特権アカウントの
急増を招いたのです。
10
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
調査結果 6: 特権アクセスの悪用は
より広範囲に
サイバー脅威調査員のレポートによると、サイバー攻撃者は、特権
アカウントの悪用に際し、より野心的になってきています。たとえば、
現在ではサービスアカウントが標的としてよく狙われています。
「最近の調査案件の多く、
Verizon の Christopher Novak 氏によると、
おそらく 80 ∼ 90% でサービスアカウントが悪用されていました。」
同氏はさらにこう述べています。「ほとんどの企業は、サービスア
されます。つまり、システムリソースへの特権アクセスを持ちます。
カウントを社内だけで使用することを想定するため、デフォルトの
その目的は何でしょうか。DVR の処理能力を乗っ取ってビットコイ
パスワードをそのまま使用します。攻撃者が（公に知ることができ
ンを採掘することです。
る）デフォルトのパスワードを使用した攻撃が、最近 25 件から
Zollard Worm が重要なのは、インターネットに接続された、従来
30 件ほどありました。また、システム間の連携を維持するために、
とは異なるタイプのデバイス（IoT と呼ばれることが多くなってきて
一般的にサービスアカウントのロックアウトをオフに設定されてい
ます。サービスアカウントを個人は利用しないことを前提としてい
います）で特権アカウントがハッキングされたことを示す点です。
るため、アラートの閾値も低く設定されています。つまり、サービ
インターネット経由で通信する電子機器の種類と数は飛躍的に増え
スアカウントは、「去る者は、日々に疎し」といった状況に陥り、
ていきます。Cisco は、2015 年までに 250 億台、2020 年まで
忘れ去られます。それ故、侵入者がサービスアカウントを列挙し
に 500 億台が接続されると予想しています。IoT には、心臓ペー
たとしても、発見されることなく、多くの成果を迅速に達成できる
スメーカー、インスリンポンプ、ホームアラームシステムなど、
のです。サービスアカウントは特定のシステムとの通信のみに制
管理するために特権アカウントが不可欠な、新しいタイプの重要
限されていませんし、ドメインの管理権限を付与されているもの
なシステムが含まれます。これらは、決して侵害されてはならない
もあります。攻撃者はサービスアカウントを使ってデータの盗み
「モノ」です。
出しをセットアップし、（持続性をもたらすために）第 2、第 3 の
バックアップアカウントを作成することができます」
しかし、Cisco などの脅威調査会社の予想では、これからサイバー
攻撃者は、より広範囲のマシンへの特権アクセスも悪用していま
氏は、その理由を次のように説明しています。
攻撃者にとっての IoT の魅力が増していきます。Craig Williams
す。Cisco Talos Security Intelligence & Research Group は最近、
「組み込みデバイスにはファームウェアの更新が必要なため、一般
Zollard Worm と呼ばれる珍しい悪用の手口を発見しました。8 こ
のワームは、さまざまなコンピューティングアーキテクチャ上に構
に品質保証サイクルがより複雑になります。そのため、ほかの製
築された PC 以外の幅広いデバイス、つまり「組み込み」デバイ
品に比べてセキュリティの更新が遅れる場合があります。さらに厄
スで実行できるように、悪意あるバイナリコードを作り変えたもの
介なのは、組み込みデバイスは多くの場合、非常に基本的なセッ
です。Zollard は標準のディレクトリ以外にあるブラウザ内で実行
トアッププロセスが導入時に 1 回だけ実行され、その後は一切
11
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
サービスアカウントは、「去る者は、
日々に疎し」といった状況に陥っており、
忘れ去られるという現状にあります。
そのため、侵入者がサービスアカウント
を列挙したとしても、発見されることなく、
多くの成果を迅速に達成できるのです。
触れられません。結果として、ほとんどの組み込みデバイスはか
読み、新しいパスワードを収集するためにスタンバイします。組
なり標準的な構成で運用されます。デフォルトの、または一般的
な組み込み構成で脆弱性が発見された場合、攻撃者はおそらくそ
織単位の Active Directory アカウントを求めてスキャンし、再度す
べてのレコードを収集します。ですから、最初に戻ってしまうので
れに狙いを定めてきます。攻撃対象領域が広いからです」
す。これが何回も行われた事例がありました」（Peter Tran 氏）
従来のコネクテッドデバイスの分野では、攻撃者が自らのアクセ
Verizon のサイバー調査チームは、ある大企業でサービスディレク
ス特権を拡大して Microsive Directory を侵害した事例を脅威調
査員らが扱っています。「AD のすべてのパスワードが侵害される
トリのハッキングの修復を支援しました。ハッキングチームが、ドメ
ことも珍しくありません。その場合、すべてのパスワードをリセッ
撃者が社内の全員のパスワードをリセットしたので、30,000 人の
トする必要がありますが、サービスアカウントへの依存があるの
従業員すべてが、なぜ自分がロックアウトされたのかと思って IT
イン管理者権限のあるサービスアカウントを確保したのです。
「攻
で面倒です」（Mandiant の Jim Aldridge 氏）
のヘルプデスクに電話していました。従業員がメールや取引アカ
ウントなどに一切アクセスできない事態を想像してみてください。
すべてのユーザーアカウントをリセットしても、RSA のインシデン
IT 部門はその大量の問い合わせに対処できませんでした。1 日
100 件のロックアウトには慣れていますが、30,000 件には慣れ
ていなかったからです」（Verizon の Chris Novak 氏）
トレスポンスリードが対応したケースでは、Microsoft Active
Directory のリセットが 1 回目、2 回目には必ずしも機能していま
せん。「多くの攻撃者は、独自の認証情報をセットアップし、複数
の侵入ポイントを作成して自分のアクティビティを隠ぺいできるよ
うに、Active Directory の「ダンプ」や「盗聴」を試みます。
Active Directory が攻撃者の手に落ちると、クライアントはたいて
8
Williams, Craig. The Internet of Everything, Including
Malware. Cisco Blogs.（2013 年 12 月 4 日）
9
Cisco Internet Business Solutions Group. The Internet of
Things Visualization.
いすべてのユーザーにアカウントを変更させます。しかし、その
指示はメールで行われますし、攻撃者はメールへのアクセスも取
得するでしょう。攻撃者は IT 部門からのパスワード変更の指示を
12
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
推奨事項および結論
多くの場合、特権アカウントの悪用を阻止することは、組織にとってデータ
侵害が起こるまでの最後の防衛線になります。その理由は、特権アカウン
トが侵害されると、重要な IT システムに対して攻撃者が危険なレベルの
アクセスを獲得してしまうからです。特権アカウントが侵害されたということ
は、信頼される IT 環境に攻撃者がすでに入り込んでいるということだと、
サイバー脅威の調査員らは指摘しています。攻撃者は侵入しただけでなく、
ネットワークの偵察、特権の拡大、複数の足がかりの確立もすでに済ませ
ていて、次にほかのシステムに移動しようとしています。Mandiant の Jim
Aldridge 氏はこう話します。「その時点で、攻撃者の動きを検知することが
非常に重要です。基本的に、それがデータを盗まれる前の最後のチャンス
だからです」
13
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
本レポートの作成にあたり、インタビューしたセキュリティエキス
• サービスアカウントの特権の監視と制限たとえば、いずれかの
パートは、企業が特権アカウントの悪用を検知および削減するた
アカウントで特に重要なサービスが実行されている場合、その
めの基本的な指針を示しています。
アカウントには決してリモートアクセスを許可してはなりませ
ん。多くの場合、
グラフィカルユーザーインターフェース（GUI）
• 存在する特権アカウントの把握各特権アカウントの本来の用途
と現状の利用方法を知っておくべきです。IT 管理用の認証情報、
からの使用も禁じるべきです。たとえば、データベースを実行
しているサービスアカウントでは、そのサービスにアクセスす
デフォルトのパスワード、ハードコードされたパスワード、アプ
るために GUI が必要になることはありません。
リケーションのバックドア、SSH キーなどを考慮する必要があり
• パッチの迅速な適用多くの企業がゼロデイの脆弱性に関して
ます。その後、それらの特権をできる限り制限して、悪用の可
懸念を抱いていますが、そのような悪用の機会は非常に貴重な
能性を低減します。
ため、攻撃者はそれらを特殊な状況下でのみ使用します。幅広
• 特権アカウントのセキュリティ強化それには、デフォルトのパ
く使用されることはめったにありません。耳にするゼロデイ 1
スワードを変更し、システムごとに異なる管理パスワードを使用
つにつき、パッチの適用によって軽減できる既知の脆弱性が数
します。攻撃者が 1 つのシステムで特権アクセスを取得した場
合、通常は同じパスワードを使用して、社内にあるほかの類似
百万も存在します。
• 従来の防御方法の徹底実践環境内のセキュリティレイヤの重
システムすべてへのアクセスを試みます。1 回使用すると無効
なりが大きくなるほど、リスクが低下します。特権アカウントの
になるワンタイムパスワードを適用してください。さらなる保護
脆弱性を軽減すれば、内部で立ち回り、重要な IT システムを
のために、企業の特権アカウントの認証情報を暗号化し、認証
操作する攻撃者の能力を大幅に弱めることができます。
情報のローテーションの自動化をお勧めします。
世界トップクラスの脅威調査員たちの経験を総合すると、サイバー
• 特権アカウントのプロアクティブ監視また、特権アカウントが
攻撃者がほぼ確実に特権アカウントを狙うことがわかります。標的
データおよびテクノロジー資産との相互作用を監視します。セ
型サイバー攻撃から防御しようとする企業や政府機関は、組織内
キュリティツールからのアラートをただ待っていては駄目です。
の多数の特権アクセスポイントを保護する手段を講じる必要があ
たとえば、アクセスすべきでないシステム群にアクセスしている
ります。特権アカウントの保護は、現代のサイバーセキュリティの
管理認証情報や、ネットワークの多くの異なる箇所にログイン
戦場で勝利を収めようと努力する組織にとって、新しい重要な防
するドメイン管理者を探し出すことが重要です。特権ユーザー
衛線になっています。
が短時間に複数の遠隔地から VPN 経由でネットワークに接続し
ている場合、それはたいてい不正アクセスの徴候です。
• 定期的な「ハウスキーピング」の繰り返し情報資産自体と資
産へのアクセス方法の定期的な整理、管理を繰り返し実行すべ
きです。ユーザーアクセス、特権の付与およびデータ、資産の
分類に関して、厳密なガバナンスを策定し、実践しなければな
りません。Active Directory とすべての認証/アクセスポイント
を洗い直します。最近使用されていない特権アカウントは廃止
してください。その多くはおそらくサービスアカウントであり、
固定された認証情報が使用されています。
14
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
本レポートに協力したエキスパート
されることなく増え続けます。侵入が成功してしまった場合、
Cisco Talos Security Intelligence and
Research Group
人間の知性とテクノロジーのリーダーシップという Mandiant
独自の組み合わせに FireEye の脅威インテリジェンスを加え
Cisco Talos Security Intelligence and Research Group
（Talos）は先進的なシステムにサポートされた優秀な脅威調
査員で構成され、既知の脅威と新たに出現する脅威の両方
を検知、分析、防御する Cisco 製品向けの脅威インテリジェ
ンスを作成します。Talos は比類ないテレメトリデータセッ
トを駆使して、脅威を総合的に理解できるインテリジェンスを
作成しており、これが Cisco のセキュリティソリューションの
優れたセキュリティ効果につながっています。Talos は Cisco
Collective Intelligence（CSI）エコシステムに属しています。
て、脅威の犯人が目標に到達する前に組織が脅威を検知し、
それに対応して封じ込めるための支援を行います。Mandiant
のエンジニアおよびセキュリティコンサルタントは、米国政
府の最高レベルのセキュリティクリアランスを保持し、11 の
著書があり、主要な報道機関に定期的に引用されています。
Mandiant はバージニア州アレクサンドリアに本社を置き、
ニューヨーク、ロサンゼルス、サンフランシスコにオフィスを
展開しています。
RSA（EMC セキュリティ部門）
Deloitte
インターネット対応デバイスの急増により、サイバーカル
EMC のセキュリティ部門である RSA は、組織が侵害された
チャーはサイバーセキュリティを上回る速度で成長していま
りハッキングされたりすることを、デジタル世界での通信やコ
す。サイバー空間に依存するすべてのものに、潜在的リスク
ラボレーション、イノベーションの結果として避けられないも
があります。意図された攻撃や、セキュリティ上の不注意、
のと諦めずにすむようにすべきだと考え、その固い信念に基
および比較的成熟度が低く規制されていない世界中のイン
づいて行動しています。実際、RSA は 30 年以上にわたって
ターネットの脆弱性によって、プライベートデータ、知的財産、
1 日も欠かさず、世界中の 30,000 を超える顧客が貴重なデ
サイバーインフラストラクチャ、さらには軍事上の安全や国
ジタル資産を守るための支援を唯一のミッションとしてきまし
家の安全までもが侵害されるおそれがあります。Deloitte は
た。RSA は、安全に業務を進める権利を組織が積極的に防
クライアントとの二人三脚で、セキュリティやプライバシーを
衛する必要があると考え、その支援ではどの他社にも劣らな
侵害されることなく、情報ネットワークの能力を活用して業務
いと自負しています。
運営を強化し、ミッションのパフォーマンスを向上させ、顧客
サポートを改善するためのサイバーアプローチを計画および
RSA の Intelligence Driven Security ソリューションは、組
実践する組織を支援しています。
織でのこのリスクの低減に貢献します。RSA のソリューショ
ンは、可視化、分析、およびアクションによって、高度な脅
Mandiant（FireEye 傘下企業）
威を検知、調査してそれに対処する能力、ID を確認および
Mandiant は、あらゆる主要産業にまたがる数百ものクライ
管理する能力、そして最終的に知的財産の窃盗、詐欺、サイ
アントのコンピュータネットワークおよびエンドポイントから
バー犯罪を防止する能力を顧客に提供します。Intelligence
脅威の犯人を締め出してきました。Mandiant は、あらゆる
Driven Security を利用すれば、組織はセキュリティに対して
種類の重大セキュリティインシデントに対する防御と対応が
様子見の姿勢を取る必要がなくなります。
必要な Fortune 500 企業や政府機関から頼られる企業です。
高度な標的型攻撃の大半は、検知されずに進められ、防御
15
CYBERARK 脅威レポート: 特権アカウントの悪用により、サイバーセキュリティの最前線がシフト
サルタントの知力と専門知識を集めて、組織に対するセキュ
Verizon Enterprise Solutions、Global Managed
Security Solutions
リティ脅威をプロアクティブに削減し、情報のリスクを低減し
ます。
Verizon は、金融サービス、小売、政府機関、テクノロジー、
医療、製造、エネルギー、運送業界の組織にグローバルな
マネージドセキュリティソリューションを提供するトップ企業
です。Verizon は強力なインテリジェンスおよび分析に、先
進的でカスタマイズ可能なセキュリティ運用および脅威防御
のマネージドサービス、次世代の商用テクノロジーの監視お
よび分析、迅速なインシデント対応、フォレンジック調査、
ID 管理などの幅広いプロフェッショナルなマネージドサービ
スを組み合わせて提供します。世界中の 550 人以上のコン
本レポートのスポンサーについて
CyberArk（NASDAQ: CYBR）は、最も高度なサイバー脅威の阻止、つまり社内ユーザーの特権を使用して企業
の中核部を攻撃する脅威の阻止に重点を置く唯一のセキュリティ企業です。CyberArk は攻撃者が業務に取り返し
のつかないダメージを与える前に、先を見越してサイバー攻撃を阻止します。CyberArk は、Fortune 100 企業の
35% 以上、世界トップ 20 の銀行のうち 17 行など、世界の大手企業の信頼を勝ち得ており、各社の最も貴重な
情報資産、インフラストラクチャ、およびアプリケーションを保護しています。グローバル企業である CyberArk は、
イスラエルのペタク・チクヴァに本社、マサチューセッツ州ニュートンに米国本社を置き、ヨーロッパ、中東、ア
フリカ地域およびアジア太平洋地域にもオフィスを展開しています。
本レポートの詳細については、www.cyberark.com/contact を
ご覧いただくか、+1 (617) 965-1544 にお電話ください。
16
米国本社
CyberArk
60 Wells Avenue
Newton, MA 02459
1-888-808-9005
または (617) 965-1544
All rights reserved. 本文書に含まれる情報およびアイデアは CyberArk Software Ltd. の
所有物です。本書のいかなる部分も、CyberArk Software Ltd. からの事前の書面による許可
なしに、電子的、機械的、
コピー、録音、
スキャンなどのいかなる形式および手段においても、
複製、情報検索システムへ保存、および送信してはなりません。
Copyright © 2000-2014 by Cyber-Ark® Software Ltd. All rights reserved.

Download Report