なぜサイバー攻撃では「ありふれた手口」がまかり通るのか？ 2回被害を受けた企業の事例を紹介

複数回にわたってシステムに侵入されるような攻撃をなぜ防げないのか。「ありふれた手口」による被害を2回受けた防犯サービス企業の例から得られる教訓とは。

[Matt Kapko，Cybersecurity Dive]

　防犯サービスを提供する企業が複数回にわたってシステムに侵入された。犯人はどうやってセキュリティをかいくぐったのだろうか。

　犯人が使ったサイバー攻撃はどのようなものだろうか。実は読者の皆さんの勤め先にも関係がある手口だ。

ありふれたサイバー攻撃の手口とは

　被害に遭ったのは北米市場で約50億ドルの売り上げがあり、住宅などに盗難や火災などの監視システムを提供するADTだ。業界同社はサイバーセキュリティ関連のサービスも提供している。150年の歴史があり、米国だけでも600万人以上の顧客を抱えている。

　同社が米国証券取引委員会（SEC）に2024年10月7日に提出したセキュリティに関する報告書には犯罪の手口が記されていた（注1）。攻撃者は第三者から入手した正規の認証情報を使って同社のシステムに侵入した。

　この攻撃は突発的なものではなかった。同社に対する2回目の攻撃だからだ。同社は2024年8月7日に提出したセキュリティに関する報告書で、別のサイバーセキュリティインシデントを公表しており（注2）、その際には顧客の注文情報を含むデータベースに不正アクセスされたと報告している。

不正に取得された認証情報はなぜ危険なのか

　ADTに対する攻撃から分かることは、不正に取得された認証情報は継続的なリスクをもたらすということだ。サイバーセキュリティの専門家や脅威ハンター、インシデント対応企業は長年にわたってパスワードなどのアイデンティティ管理に不備がある企業が目立ち、慢性的な問題だと指摘してきた（注3）。

　IBM X-Forceのレポート「Threat Intelligence」によると、2023年の世界のサイバー攻撃の約3分の1は正規のアカウントが侵害されたことが原因だ（注4）。正規のアカウントを不正に取得することは、犯罪者が選ぶ侵入の初期アクセス経路として、最も一般的だった。

　ADTによると、今回の攻撃を抑制するために対応した結果、一部の情報システムに混乱が起きたという。同社は攻撃の詳細や侵入の発見時期に関して説明していない。

　ADTは「攻撃者が従業員のユーザーアカウントに関連する暗号化された内部データを持ち出した」と述べた。また同社は報告書において「現在の調査によると、顧客の個人情報が持ち出されたり、顧客のセキュリティシステムが侵害されたりした形跡はない」と述べた。

　ADTは不正アクセスを妨害し、侵害のあった第三者に通知し、IT資産と業務を保護するための対策を講じたと説明した。同社は外部のサイバーセキュリティ専門家を雇い、調査とインシデント対応に関する支援を受けている。

　2024年10月8日にADTの広報担当者は「当社のネットワークへのサイバー攻撃に関する調査を継続中だ」と述べた。なお、ADTはランサムウェアの関与や復旧作業による影響に関する言及を避けた。

出典：ADT employee account data stolen in cyberattack（Cybersecurity Dive）
注1：UNITED STATES SECURITIES AND EXCHANGE COMMISSION（SEC）
注2：ADT Inc.（SEC）
注3：Security has an underlying defect: passwords and authentication（Cybersecurity Dive）
注4：IBM marks monumental shift in valid account attacks（Cybersecurity Dive）