ネットワーク大手シスコは5月にサイバー攻撃の被害に遭いました。同社は水曜日に発表した通知で、5月24日に自社のITインフラを標的としたセキュリティインシデントを発見したと発表しました。一部のファイルが侵害され公開されたものの、ランサムウェアは発見されておらず、最初の侵入以降、ネットワークへの新たなアクセス試行をブロックできたこと、そして同様のインシデントの発生を防ぐため防御を強化したことを表明しました。
シスコは通知の中で、「シスコは、今回のインシデントによる当社の事業への影響を確認していません。これにはシスコ製品やサービス、顧客の機密データや従業員の機密情報、知的財産、サプライチェーン運営などが含まれます」と述べています。「また、システムのセキュリティ強化のための追加対策を実施し、セキュリティコミュニティ全体の保護に役立てるため、技術的な詳細を共有しています。」
攻撃中に何が起こったのですか?
画像:Cisco Talos
同社の脅威インテリジェンス部門であるCisco Talosが公開した補足通知では、攻撃に関するより詳細な情報が公開されました。調査の結果、攻撃者が個人のGoogleアカウントを乗っ取り、そのアカウントに従業員の認証情報が保存・同期されていたことが判明しました。
最初の侵害の後、攻撃者は信頼できる組織を装ったボイスフィッシング攻撃を用いて、ユーザーに偽の多要素認証通知を承認させようとしました。この多要素認証通知は最終的に成功し、攻撃者は従業員が使用するVPNへのアクセスを獲得しました。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Cisco のネットワークへの攻撃の責任者は誰ですか?
Cisco Talosは、潜在的な犯人について、この攻撃は、UNC2447サイバー犯罪集団、Lapsus$グループ、そしてYanluowangランサムウェアの運営者と繋がりを持つ初期アクセス・ブローカーと特定される人物によって実行された可能性が高いと述べています。初期アクセス・ブローカーは通常、組織に侵入し、そのアクセスをランサムウェア集団やその他のサイバー犯罪者に販売します。
ランサムウェアを専門とするUNC2447グループは、身代金を支払わない限り、窃取したデータを公開するか、ハッカーフォーラムで販売すると脅迫しています。サイバー犯罪の世界では比較的新しいLapsus$グループは、MFAの要求などのソーシャルエンジニアリング戦術を用いて被害者を騙します。死者の魂を裁く中国の神にちなんで名付けられたYanluowangランサムウェア攻撃者は、身代金を支払わない限り、盗んだデータを公開し、DDoS攻撃を開始すると誓います。
「これは、経験豊富なハッカーによる、知名度の高い標的に対する高度な攻撃であり、実行には多大な粘り強さと連携が必要でした」と、コンパリテックのプライバシー擁護者、ポール・ビショフ氏は述べています。「これは多段階の攻撃で、ユーザーの認証情報の不正取得、他の従業員からのMFAコードのフィッシング、シスコの企業ネットワークへの侵入、アクセスの維持と痕跡の隠蔽のための措置、そしてデータの窃取が必要でした。シスコによると、この攻撃は初期アクセス・ブローカー(IAB)によって実行された可能性が高いとのことです。一部のデータは窃取されましたが、IABの主な役割は、他のハッカーにプライベートネットワークへのアクセス権を販売することです。これらのハッカーは、後にデータ窃取、シスコソフトウェアへのサプライチェーン攻撃、ランサムウェアなどのさらなる攻撃を実行する可能性があります。」
脅威インテリジェンスプロバイダーのCyberknowが投稿したツイートには、Yanluowangランサムウェアグループの漏洩サイトのスクリーンショットが含まれており、シスコが最新の被害者であることが示されています。Cisco Talosの通知には、シスコが攻撃者から受け取ったメールのスクリーンショットが掲載されていました。「金銭を支払えば、このインシデントと情報漏洩について誰も知ることはない」とシスコを脅迫する内容のメールには、攻撃で侵害されたファイルのディレクトリがいくつか記載されていました。
セキュリティ企業が標的になる理由
サイバーセキュリティおよびテクノロジーベンダーは、サイバー犯罪者の標的となるケースが増えています。ImmuniWebの創設者でありサイバーセキュリティ専門家のイリア・コロチェンコ氏によると、こうした攻撃にはいくつかの理由があります。
「第一に、ベンダーは通常、企業や政府機関の顧客に対して特権的なアクセス権を持っているため、目に見えない超効率的なサプライチェーン攻撃の扉を開く可能性があります」とコロチェンコ氏は述べた。「第二に、ベンダーは貴重なサイバー脅威インテリジェンスを保有していることが多いのです。」
コロチェンコ氏は、攻撃者は有用な脅威情報を求めて監視を行い、民間ベンダーによる捜査の状況や法執行機関による捜査の可能性を判断すると説明した。
「第三に、一部のベンダーは、侵入を検知しサイバー犯罪者を摘発するために使用される最新のDFIR(デジタルフォレンジックおよびインシデント対応)ツールと技術を保有しているため、非常に魅力的な標的となります。一方、他のベンダーは、ゼロデイ脆弱性を突くエクスプロイトや、高度なスパイウェアのソースコードを保有している可能性があり、これらは後に新たな被害者に対して使用されたり、ダークウェブで販売されたりする可能性があります」とコロチェンコ氏は付け加えた。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
セキュリティ専門家が同様の攻撃から企業を守る方法
Talos グループは、攻撃とシスコの対応について説明するだけでなく、他の組織がこの種の攻撃に対抗する方法に関するヒントも提供しました。
ユーザーを教育する
多くの攻撃者は、ソーシャルエンジニアリングの手口を巧みに利用して組織を侵害しようとします。ユーザー教育は、こうした攻撃に対抗するための重要なステップです。サポート担当者が連絡する際に使用する正当な手段を従業員に周知徹底してください。多要素認証(MFA)通知の悪用を防ぐため、携帯電話で不審なリクエストを受け取った場合の対応方法も従業員に周知徹底させましょう。リクエストが技術的な不具合によるものか、悪意のある行為によるものかを判断するために、誰に連絡すればよいかを知っておく必要があります。
従業員のデバイスを確認する
デバイスのステータスに関する厳格な制御を設定することで、強力なデバイス検証を導入し、管理対象外デバイスや不明なデバイスからの登録とアクセスを制限またはブロックします。リスク検出機能を実装し、新しいデバイスが非現実的な場所から使用されているなどの異常なイベントを識別します。
VPNアクセスのセキュリティ要件を適用する
リモート エンドポイントからの VPN アクセスを許可する前に、ポスチャ チェックを使用して、接続するデバイスがセキュリティ要件を満たしていること、および以前に承認されていない不正なデバイスが接続できないことを確認します。
ネットワークをセグメント化する
ネットワーク セグメンテーションは、重要な資産をより適切に保護し、疑わしいアクティビティをより適切に検出して対応できるため、もう 1 つの重要なセキュリティ メソッドです。
集中ログを使用する
一元化されたログを活用することで、攻撃者がシステムからログを削除しようとしているかどうかをより正確に判断できます。エンドポイントからのログデータが一元的に収集され、不審な動作がないか分析されていることを確認してください。
オフラインバックアップに切り替える
多くのインシデントにおいて、攻撃者はバックアップインフラストラクチャを標的とし、攻撃で侵害されたファイルの復元を阻止しようとしました。これに対処するには、バックアップをオフラインで保存し、定期的にリカバリテストを実施して、攻撃を受けた後も復旧できることを確認してください。
