ビジネス&テクノロジー
現在、ウクライナでロシア軍の軍事作戦が展開されている中、サイバー戦争に発展する可能性があるかどうかは未だわかりません。ウクライナを標的とした破壊的なサイバー行為の事例が散見されますが、現在のところ帰属は特定できていません。
このような活動により、多くの組織で懸念が高まりつつあります。当社は、潜在的なサイバー攻撃に向けた準備をサポートして組織を保護することに重点を置いています。これに伴い、このサイバーレディネスチェックリストをまとめました。これらの提案の多くは標準的なサイバーハイジーンの手順やベストプラクティスになりますが、特に懸念事項が他にも数多くある場合には、基本的なことを再認識して実行してみてください。行動は単純なものですが、「手洗い」が新型コロナウイルスの感染対策になるのと同じように、こうした行動もサイバー脅威への対策に大きな効果をもたらすことができるのです。
ネットワーク内の敵をハンティングするには、CISAは下記のTTPを推奨しています。
戦術 |
技術 |
手順 |
偵察 [TA0043] |
アクティブスキャン:脆弱性スキャン [T1595.002] |
|
ロシアの国家支援型APT(持続的標的型攻撃)攻撃者は、脆弱なサーバーを見つけるために大規模なスキャンを実行しています。 |
||
情報のフィッシング [T1598] |
ロシアの国家支援型APT攻撃者は、標的ネットワークの認証情報を得るために、スピアフィッシング作戦を実施しています。 | |
リソース開発[TA0042] |
機能の開発:マルウェア[T1587.001] |
ロシアの国家支援型APT攻撃者は、ICSを中心とした破壊的マルウェアなどを開発および展開しています。 |
初回アクセス[TA0001] |
一般向けアプリケーションの悪用[T1190] |
ロシアの国家支援型APT攻撃者は、ネットワークにアクセスするために、ゼロデイと同様、インターネット接続システムにおける既知の脆弱性を標的にしています。 |
サプライチェーンのセキュリティ侵害:ソフトウェアサプライチェーンのセキュリティ侵害 [T1195.002] |
ロシアの国家支援型APT攻撃者は、信頼できるサードパーティ製ソフトウェアを侵害して、標的組織への初回アクセスを遂行しています。目立ったインシデントとしては、M.E. Doc会計ソフトウェアやSolarWinds Orionなどが挙げられます。 |
|
実行 [TA0002] |
コマンドおよびスクリプトインタープリター:PowerShell [T1059.003] およびWindowsコマンドシェル [T1059.003] |
ロシアの国家支援型APT攻撃者はcmd.exeを使用して、リモートマシンでコマンドを実行しています。また、PowerShellを使用して、リモートマシンでタスクを新規作成したり、構成設定を識別したり、データを盗み出したり、他のコマンドを実行したりしています。 |
持続性[TA0003] |
有効なアカウント [T1078] |
ロシアの国家支援型APT攻撃者は、既存アカウントの認証情報を使用して、侵害されたネットワークへの持続的かつ長期的なアクセスを維持しています。 |
認証情報でのアクセス [TA0006] |
ロシアの国家支援型APT攻撃者は、ブルートフォースのパスワード推測およびパスワードスプレー作戦を実施しています。 |
|
OSの認証情報ダンピング:NTDS [T1003.003] |
ロシアの国家支援型APT攻撃者は、認証情報を流出させ、Active Directoryデータベース(ntds.dit)のコピーをエクスポートしています。 |
|
Kerberosチケットの窃盗または偽造:ケルベロスティング [T1558.003] |
ロシアの国家支援型APT攻撃者は、Active Directoryのサービスプリンシパル名(SPN)のチケット交付サービス(TGS)チケットを取得する「ケルベロスティング」を実行して、オフラインクラッキングを行っています。 |
|
パスワードストアの認証情報[T1555] |
ロシアの国家支援型APT攻撃者は、以前に侵害したアカウントの認証情報を使用して、グループ管理サービスアカウント(gMSA)のパスワードへのアクセスを試みています。 |
|
認証情報でのアクセスに関する悪用 [T1212] |
ロシアの国家支援型APT攻撃者は、Windows Netlogonの脆弱性(CVE-2020-1472)を悪用して、Windows Active Directoryサーバーへアクセスしています。 |
|
セキュリティ保護されていない認証情報:秘密キー [T1552.004] |
ロシアの国家支援型APT攻撃者は、Active Directoryフェデレーションサービス(ADFS)コンテナから秘密暗号化キーを取得し、対応するSAML(サムル:Security Assertion Markup Language)の署名証明書を復号化しています。 |
|
コマンド&コントロール [TA0011] |
プロキシ:マルチホッププロキシ[T1090.003] |
ロシアの国家支援型APT攻撃者は、仮想専用サーバー(VPS)を使用してトラフィックをターゲットにルーティングしています。多くの場合、攻撃者は被害者の国のIPアドレスでVPSを使用しているので、活動が正規のユーザートラフィックの中に隠れてしまいます。 |
フォーティネットは、多様な機会を組織に提供して深刻なサイバー攻撃を減災し、潜在的な侵害を調査しています。フォーティネットが提供するテクノロジーやソリューションの代表的な例をいくつかご紹介します。