重要インフラを狙うサイバー攻撃者が使う「2つのテクニック」とは？

米国のサイバー当局は重要インフラに対する攻撃事例を調査し、攻撃者の手法を調べ上げた。その結果、2つのテクニックが大半を占めていた。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2023年7月26日に「年次リスクおよび脆弱性評価」を発表した（注1）。そこにはある攻撃パターンが大半を占めると記されている。

攻撃はいつも同じパターンだった

　重要インフラを狙う犯罪者は、サイバー攻撃の約9割で2つの「テクニック」を使っていた。この情報は防御にも役立つ。

　CISAが調べたインシデントは電力やガス、鉄道、空港などの重要インフラネットワークや州・地方機関に対するものだ。

　2022年に侵入を許したインシデントのうち、約90％は「有効な認証情報の侵害」と「スピアフィッシング攻撃」の組み合わせを利用していた。スピアフィッシング攻撃とは、特定の人物や組織を狙ったフィッシング攻撃だ。

認証情報は本当に危ない

　有効な認証情報の侵害とは何だろうか。「Active Directory」に残っていた元従業員のアカウントやデフォルトの管理者の認証情報を含む有効なアカウントだ。これらの情報が攻撃の54％に関与していた。

　報告書によると、ターゲットとなる個人に送信されたマルウェア付きのスピアフィッシングリンクが攻撃の約3分の1に含まれていた。

　攻撃の高い成功率から分かることはこうだ。攻撃者が標的システムへ最初にアクセスするために使用するテクニックには持続性がある。

　CISAの報告書の中には次のような記述がある（注2）。

　「組織ネットワークへの侵入に成功することが、

攻撃がうまくいくための第一歩だ。攻撃者が最初のアクセスを確立すると、情報を盗むために必要な特権の昇格などの他のテクニックを試すことができるようになる」

添付ファイルやアプリの脆弱性はあまり使われない

　逆にほとんど使われていない手法も見つかった。スピアフィッシング攻撃の約3％しか、初期アクセスを得るために添付ファイルを用いておおらず、同じく3％のみが外部リモートサービスを使っていた。

　公開済みのアプリケーションの脆弱（ぜいじゃく）性を利用した攻撃は、連邦政府の2022会計年度に調査された全攻撃のわずか1％を占めるに過ぎなかった。

攻撃者はどのような手順を踏むのか

　CISAとアメリカ沿岸警備隊のサイバー司令部は、報告書をまとめるために複数の重要インフラ部門に対して、121回のリスク評価と脆弱性の評価を実施し、侵害全体に共通点があることを発見した。

　「さまざまな重要インフラ部門にまたがる多くの組織が、同じ脆弱性を有していた」と両機関は報告書に記している。

　CISAは、現実に起きた攻撃の多くが典型的な手順に従っていることを発見した。それによると、攻撃者は次の手順を踏むことが多い。

（1）初期アクセスの獲得
（2）足掛かりを築き、ネットワークに対する永続的なアクセスを維持するためのコードを実行
（3）権限を昇格して管理者権限を獲得
（4）防御回避技術を使用して検出を回避し、資格情報を盗難
（5）システムとネットワークの構成を把握し、機密データを特定
（6）機密データにアクセスするために横展開を実行
（7）機密データを収集
（8）コマンドアンドコントロールを使用してデータを流出させ、攻撃後もコントロールを維持

　攻撃を開始するためのツールや取り組み方は常に変化しているが、サイバー当局は「国の最も重要なネットワークやシステム に対する不正アクセスを得るために同じ『テクニック』が使われている」と語った。

出典：Valid account credentials are behind most cyber intrusions, CISA finds（Cybersecurity Dive）

注1：Risk and Vulnerability Assessments（cisa）

注2：CISA Analysis: Fiscal Year 2022 Risk and Vulnerability Assessments（cisa）