サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバー犯罪者がユーザーの「脆弱なセキュリティ設定、脆弱な管理体制、その他のサイバー衛生習慣の不備」を悪用し、初期アクセスを取得したり、被害者のシステムに侵入するためのその他の戦術の一環として利用していると述べたニュース勧告を発表しました。さらに、同庁は声明の中で、ハッカーがネットワークに侵入する最も一般的な10の手口と、企業が潜在的な攻撃によるリスクを軽減するために活用できる手法について検証しています。
最も一般的なサイバー攻撃ベクトル10選
CISA の調査結果によると、ハッカーがユーザーまたは組織のネットワークやシステムにアクセスするために最もよく使用する手法は次のとおりです。
- 多要素認証(MFA)が強制されていない
- 誤って適用された権限や許可、およびアクセス制御リスト内のエラー
- ソフトウェアが最新ではない
- ベンダー提供のデフォルト設定またはデフォルトのログインユーザー名とパスワードの使用
- 不正アクセスを防ぐための十分な制御が欠如しているリモートサービス
- 強力なパスワードポリシーが実装されていない
- クラウドサービスは保護されていない
- 開いているポートと誤って設定されたサービスがインターネットに公開されている
- フィッシング攻撃の検出またはブロックの失敗
- エンドポイントの検出と応答が不十分
「リストとしては非常に優れており、組織がサイバー攻撃の被害に遭う最も一般的な理由を列挙しています」と、Cerberus Sentinelのソリューションアーキテクチャ担当バイスプレジデント、クリス・クレメンツ氏は述べています。「CISAの推奨事項に従うことで、組織はセキュリティ体制とサイバー攻撃に対するレジリエンスを大幅に向上させることができます。しかしながら、これらの項目の多くは、特に強力なサイバーセキュリティ文化がまだ確立されていない組織にとっては、実装が困難な場合があります。また、既存のサイバーセキュリティ文化を持たない組織にとって、どこから始めればよいかを知ることも困難です。」
これらの攻撃ベクトルの多くに見られるように、そのほとんどはユーザーまたは組織のミスによって引き起こされます。サイバー犯罪者が問題のシステムまたはネットワークにアクセスするのを最大限に防ぐために、デバイスを管理するユーザーまたは組織は、潜在的なサイバー攻撃からの保護に関して、常にベストプラクティスに従うことが推奨されます。
KnowBe4 のデータ駆動型防御伝道師 Roger Grimes 氏はこの勧告について異なる意見を持っており、CISA はユーザーと企業が最も注意する必要がある領域を強調していないと指摘している。
「残念ながら、この種の警告の多くと同様に、この文書も読者が知っておくべき重要な真実を一つ伝えていません。それは、フィッシングとソーシャルエンジニアリングが問題の50%から90%を占めているということです」とグライムズ氏は述べた。「多くの警告と同様に、フィッシングとソーシャルエンジニアリングについては触れられておらず、軽減策についても、フィッシング攻撃を認識して阻止するための従業員トレーニングの強化など、フィッシングやソーシャルエンジニアリング攻撃への対策については一切触れられていません。ソーシャルエンジニアリングは圧倒的に最大の脅威であるにもかかわらず、ほとんど触れられていないため、この文書を読んでいる人は誰も、それを阻止することが最善の策であることに気づいていないのです。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
CISAによるリスク要因の軽減に関するヒント
CISA は、サイバー犯罪者に対する攻撃ベクトルのトップ 10 を発表したほか、ハッカーからの攻撃を受ける可能性のある人々に対して次のような提案も行っています。
- ゼロトラストセキュリティによるアクセス制御
- MFA を実装して認証情報の強化を実装する
- 集中ログ管理を確立する
- ウイルス対策プログラムを導入する
- 検出ツールを導入し脆弱性を探す
- 厳格な構成管理プログラムを維持する
- ソフトウェアおよびパッチ管理プログラムを開始する
これらのヒントの中には、ウイルス対策ソフトウェアや検出ツールの使用、パッチを適用してソフトウェアを最新の状態に保つことなど、IT業界関係者にとっては当たり前のことのように思えるものもありますが、特に中小企業にとっては、積極的に実践するのが難しいものもあります。クレメンツ氏が挙げた例の一つは、CISAによるゼロトラストモデルの導入の推奨です。この勧告では、CISAは組織がゼロトラストモデルをゼロから導入する方法について検討しておらず、導入することによる表面的なメリットについてのみ触れています。
「緩和策のリストは『ゼロトラスト・セキュリティモデルの導入』から始まります。ゼロトラストはネットワーク防御において非常に効果的なアプローチとなり得ますが、導入には大きな負担がかかることもあります」とクレメンツ氏は述べた。「これは特に、大規模な環境、レガシーシステムへの依存、あるいは人員や予算といったリソースが限られている組織に当てはまります。そのため、すべての組織が真のセキュリティ文化を導入し、個々のリスクを評価し、迅速に導入できるベストプラクティスを策定し、短期的および長期的な防御戦略を策定することが重要です。[セキュリティオペレーションセンター]は設置する価値はありますが、すべての組織が独自のセキュリティオペレーションセンターを構築し、人員を配置するリソースを持っているわけではありません。」
この勧告では、これらのヒントがサイバー攻撃の次の被害者を回避するのにどのように役立つかについてかなり詳しく説明していますが、これらの取り組みを最も効果的に実行する方法については、最終的には企業とその幹部に委ねられています。
