ビジネス&テクノロジー

サイバーレディネスチェックリストとガイド

投稿者 Gergely Revay | 2022年3月4日

現在、ウクライナでロシア軍の軍事作戦が展開されている中、サイバー戦争に発展する可能性があるかどうかは未だわかりません。ウクライナを標的とした破壊的なサイバー行為の事例が散見されますが、現在のところ帰属は特定できていません。

このような活動により、多くの組織で懸念が高まりつつあります。当社は、潜在的なサイバー攻撃に向けた準備をサポートして組織を保護することに重点を置いています。これに伴い、このサイバーレディネスチェックリストをまとめました。これらの提案の多くは標準的なサイバーハイジーンの手順やベストプラクティスになりますが、特に懸念事項が他にも数多くある場合には、基本的なことを再認識して実行してみてください。行動は単純なものですが、「手洗い」が新型コロナウイルスの感染対策になるのと同じように、こうした行動もサイバー脅威への対策に大きな効果をもたらすことができるのです。

重要ポイント

  1. パッチ適用:すべてのシステムにおいてパッチが適用され、アップデートされていることを確認する
  2. 保護データベース:セキュリティツールのデータベースが最新であることを確認する
  3. バックアップ:すべての重要システムにおいて、オフラインバックアップを作成または更新する
  4. フィッシング:フィッシング詐欺に対する意識向上トレーニングや演習を実施する
  5. ハンティング:ロシアの脅威アクターが有する既知のTTP (戦術、技術および手順) を活用して、ネットワーク内の攻撃者をプロアクティブに追跡する
  6. エミュレート:防御をテストして、ロシアの脅威アクターが有する既知のTTPを検知できるようにする
  7. レスポンス:架空および実際に発生したシナリオに対し、インシデントレスポンスをテストする
  8. 最新状態の維持:フォーティネットの脅威シグナルのような脅威インテリジェンスフィードをサブスクリプション利用する

詳細な行動

  1. パッチ適用:脅威アクターは多くの場合、パッチが適用されていない被害者のネットワークの脆弱性を標的にします。このことから、最も重要な防御となるのは常にパッチ管理であり、稼働させるシステムはパッチが全面的に適用されている必要があります。特定の脆弱性に焦点を当てたい組織のために、CISAはロシアの脅威アクターが過去に用いた特定のCVEのリストを保持しています。しかし、アプローチとしては、常に最新の状態を維持することに注力した方が良いでしょう。エアギャップ環境でも同様です。この機会に、これらのシステムにもパッチが適用されていることを確認しておきましょう。また、パッチの適用はワークステーションやサーバーだけでなく、セキュリティ製品やネットワーク製品においても重要です。
  2. 保護データベースの活用:FortiGuard Labsでは、広範な脅威インテリジェンスフレームワークで検知された脅威に対して、新しい検知ルール、シグネチャ、行動モデルを継続的に作成しています。これらの情報はすべてのフォーティネット製品に迅速に伝達されます。すべての保護データベースが定期的に更新されていることを確認しておきましょう。
  3. 重要システムのバックアップ:攻撃の多くは、ランサムウェアやワイパーマルウェアの形式です。このようなマルウェアによるデータ破壊に対する最善の防御策は、バックアップを最新状態で維持することです。同時に、マルウェアはバックアップサーバーを見つけてバックアップを破棄することも少なくないため、これらのバックアップをオフラインにしておくことも重要です。現在の危機を機会に、バックアップが実際に存在しているかどうか(紙の上だけでなく)を確認し、ITチームと復旧演習を実施しておくと良いでしょう。
  4. フィッシング:フィッシング攻撃は、今もなお攻撃者にとって最も一般的なエントリーポイントと言えます。この機会に、フィッシング詐欺に対する意識向上キャンペーンを実施して組織内の全員の意識を高め、悪意のあるメールを識別したり報告したりする方法をしっかり理解させましょう。
  5. ハンティング:残念なことに、あなたの組織がこの紛争で何らかの役割を担っているとすると、敵はすでにネットワークに存在している可能性があります。スパイウェアをインストールされたり、深刻な破壊を引き起こされたりする前に脅威ハンティングを実行することは、敵を検知する上で不可欠です。脅威ハンティングでは、以下のTTP を利用できます。
  6. エミュレート:以下のTTPは、セキュリティインフラストラクチャにより検知ができているかどうかを評価するのに使用することができます。エミュレーション演習を実行すると、設定の問題や、攻撃者が検知を避けてネットワーク内を移動できるようになる盲点を明らかにすることができます。
  7. レスポンス:セキュリティ侵害が判明した場合、迅速かつ体系的なインシデントレスポンスが重要になります。この機会に、災害復旧やビジネス継続性戦略など、インシデントに対応するための手順を確認しておきましょう。独自のインシデントレスポンスチームがある場合は、机上演習や架空のシナリオを実施することで、セキュリティ侵害が発生した場合にすべてが円滑に実行されるようにしておくことができます。
  8. 最新状態の維持:ここに示す行動は1回きりの実施ではないということが重要です。最新状態の維持、パッチの適用、脆弱性の監視、脅威に対する認識の維持は、継続的な実行が必要な行動です。発見された最新の脅威について知る方法としては、FortiGuard脅威シグナルをチェックすることが挙げられます。

TTP (既知の戦術、技術および手順)

ネットワーク内の敵をハンティングするには、CISAは下記のTTPを推奨しています。

戦術

技術

手順

偵察 [TA0043]

アクティブスキャン:脆弱性スキャン [T1595.002]

 

ロシアの国家支援型APT(持続的標的型攻撃)攻撃者は、脆弱なサーバーを見つけるために大規模なスキャンを実行しています。

情報のフィッシング [T1598]

ロシアの国家支援型APT攻撃者は、標的ネットワークの認証情報を得るために、スピアフィッシング作戦を実施しています。

リソース開発[TA0042]

機能の開発:マルウェア[T1587.001]

ロシアの国家支援型APT攻撃者は、ICSを中心とした破壊的マルウェアなどを開発および展開しています。

初回アクセス[TA0001]

一般向けアプリケーションの悪用[T1190]

ロシアの国家支援型APT攻撃者は、ネットワークにアクセスするために、ゼロデイと同様、インターネット接続システムにおける既知の脆弱性を標的にしています。

サプライチェーンのセキュリティ侵害:ソフトウェアサプライチェーンのセキュリティ侵害 [T1195.002]

ロシアの国家支援型APT攻撃者は、信頼できるサードパーティ製ソフトウェアを侵害して、標的組織への初回アクセスを遂行しています。目立ったインシデントとしては、M.E. Doc会計ソフトウェアやSolarWinds Orionなどが挙げられます。

実行 [TA0002]

コマンドおよびスクリプトインタープリター:PowerShell [T1059.003] およびWindowsコマンドシェル [T1059.003]

ロシアの国家支援型APT攻撃者はcmd.exeを使用して、リモートマシンでコマンドを実行しています。また、PowerShellを使用して、リモートマシンでタスクを新規作成したり、構成設定を識別したり、データを盗み出したり、他のコマンドを実行したりしています。

持続性[TA0003]

有効なアカウント [T1078]

ロシアの国家支援型APT攻撃者は、既存アカウントの認証情報を使用して、侵害されたネットワークへの持続的かつ長期的なアクセスを維持しています。

認証情報でのアクセス [TA0006]

ブルートフォース:パスワード推測[T1110.001] およびパスワードスプレー [T1110.003]

ロシアの国家支援型APT攻撃者は、ブルートフォースのパスワード推測およびパスワードスプレー作戦を実施しています。

OSの認証情報ダンピング:NTDS [T1003.003]

ロシアの国家支援型APT攻撃者は、認証情報を流出させ、Active Directoryデータベース(ntds.dit)のコピーをエクスポートしています。

Kerberosチケットの窃盗または偽造:ケルベロスティング [T1558.003]

ロシアの国家支援型APT攻撃者は、Active Directoryのサービスプリンシパル名(SPN)のチケット交付サービス(TGS)チケットを取得する「ケルベロスティング」を実行して、オフラインクラッキングを行っています。

パスワードストアの認証情報[T1555]

ロシアの国家支援型APT攻撃者は、以前に侵害したアカウントの認証情報を使用して、グループ管理サービスアカウント(gMSA)のパスワードへのアクセスを試みています。

認証情報でのアクセスに関する悪用 [T1212]

ロシアの国家支援型APT攻撃者は、Windows Netlogonの脆弱性(CVE-2020-1472)を悪用して、Windows Active Directoryサーバーへアクセスしています。

セキュリティ保護されていない認証情報:秘密キー [T1552.004]

ロシアの国家支援型APT攻撃者は、Active Directoryフェデレーションサービス(ADFS)コンテナから秘密暗号化キーを取得し、対応するSAML(サムル:Security Assertion Markup Language)の署名証明書を復号化しています。

コマンド&コントロール [TA0011]

プロキシマルチホッププロキシ[T1090.003]

ロシアの国家支援型APT攻撃者は、仮想専用サーバー(VPS)を使用してトラフィックをターゲットにルーティングしています。多くの場合、攻撃者は被害者の国のIPアドレスでVPSを使用しているので、活動が正規のユーザートラフィックの中に隠れてしまいます。

さらなるTTPについては、既知の攻撃者を確認

フォーティネットのサポート

フォーティネットは、多様な機会を組織に提供して深刻なサイバー攻撃を減災し、潜在的な侵害を調査しています。フォーティネットが提供するテクノロジーやソリューションの代表的な例をいくつかご紹介します。  

参考文献