リモートワークが一般的になった現在、優れたサイバー衛生プログラムを導入することは、今日の脅威の状況で生き残りを賭ける組織にとってきわめて重要です。 これには、個人のサイバーセキュリティに対する意識を高める文化の推進と、適切なセキュリティツールの導入が含まれ、これらのいずれもプログラムの成功に不可欠です。

これらのツールには、エンドポイントパッチ、EDR (Endpoint Detection and Response: エンドポイント検出および対応) ソリューション、ウイルス対策ソフトウェアが含まれます。 しかし、最近のサイバーセキュリティに関する報告書を見ると、組織の外部攻撃面を減らすには、これらのツールだけではもはや十分ではありません。

ここでは、この脅威に真剣に取り組まなかった組織に起こった、3つの理由と実際の状況を説明します。

  1. AI が生成したポリモーフィック型エクスプロイトは、主要なセキュリティツールを回避できる
  2. パッチの失敗とパッチの疲労がセキュリティチームを息苦しくしている
  3. エンドポイントパッチは、既知のデバイスとアプリに対してのみ機能する
  4. 組織はどのようにして外部攻撃面を減らすことができるのか

1. AI が生成したポリモーフィック型エクスプロイトは、主要なセキュリティツールを回避できる

最近では、EDR やウイルス対策を回避するために、AI で生成されるポリモーフィック型マルウェアが開発され、セキュリティチームに脅威や脆弱性の死角を残しています。

事例: ChatGPT ポリモーフィック型マルウェアが「主要な」EDR およびウイルス対策ソリューションを回避

ある報告では、ChatGPT プロンプトを悪用して、ウイルス対策ソフトウェアによる検出を回避するポリモーフィック型マルウェアが開発されました。 同様の報告において、研究者は、業界をリードする自動 EDR ソリューションを回避するポリモーフィック型キーロギングマルウェアを作成しました

これらのエクスプロイトは、反復するたびにコードを少しずつ変化させ、コマンド&コントロール (C2) 通信チャネルを使わずに悪意のあるコードを暗号化することでこれを実現しました。

この変異は、従来のシグネチャベースや低レベルのヒューリスティック検出エンジンでは検出できません。 つまり、パッチの開発およびリリース、パッチの有効性のテスト、セキュリティチームによる脆弱性の優先順位付け、IT (情報技術) チームによる影響を受けるシステムへのパッチの展開の理由で、セキュリティ上の時間差が生じるのです。

このため、パッチ適用が完了するまで、重要な資産を保護するために他のセキュリティツールに頼らざるを得ない状況が数週間から数か月間続く可能性があります。
 

2. パッチの失敗とパッチの疲労がセキュリティチームを息苦しくしている

残念ながら、パッチが厳密にテストされていないために、更新が原因でシステムが壊れてしまうということが頻繁に起こっています。 また、一部の更新では、すべての脆弱性が完全に修正されないため、システムはより多くの攻撃に対して脆弱な状態のままで、完全に修正するためには追加のパッチが必要になります。

事例: サフォーク郡のランサムウェア攻撃

ニューヨーク州サフォーク郡は、最近、データ漏洩とランサムウェア攻撃 (Log4j 脆弱性が脅威主体の入口となり、システムが侵害されたインシデント) に関するフォレンジック調査の結果を発表しました。 この攻撃は、2021 年 12 月に始まり、Apache がこれらの脆弱性に対するセキュリティパッチをリリースしたのと同じ時期でした。

更新が利用可能であったにもかかわらず、パッチが適用されたことは一度もありませんでした。その結果、数千件の社会保障番号を含む 400 ギガバイトのデータが盗まれ、最初の身代金要求額は 250 万ドルでした。

身代金は支払われませんでしたが、個人データの損失、職員の生産性の低下、その後の調査のコストは、サイバー衛生アプライアンスとツールの更新コストと最終的な身代金の要求額である 50 万ドルを上回っていました。 同郡では、すでに 550 万ドルを費やして、今日もまだすべてのシステムの復旧および復元に取り組んでいます。

事例: Windows サーバーの更新エラーのため業務が 24 時間連続で停止

個人的な経験ですが、ある Patch Tuesday で、Microsoft Windows サーバーの更新プログラムが自動的にダウンロードされ、インストールされた結果、IoT (モノのインターネット) クライアントとAAA (認証、認可、アカウンティング) サーバー間の認証サービスが破損し、生産が大幅に停止してしまい、24 時間連続で対応に当たらなければならなかったことがありました。

当社の最大規模のお客様が導入した社内顧客リファレンスネットワークでは、Active Directory Certificate Services (ADCS) と、無線で管理された IoT ネットワーク機器の 802.1x EAP-TLS 認証に用いる Network Policy Servers (NPS) に Microsoft サーバーを導入していました。

これは 10 年前に起こったことですが、この 2017年7月の更新 (無線クライアントの NPS 認証が壊れる問題が昨年5月に繰り返されたなど) その後数年間も同様の問題が再発しています。

当時は、エラーのあるパッチをすぐに修正することができなかったため、私はその後 22 時間かけて、企業の公開鍵基盤 (PKI) と AAA サービスの Microsoft サーバーを再構築し、通常の運用を復旧させました。 救いは、元のルート認証局をオフラインにしたことで、サーバーが問題のある更新の影響を受けなかったことです。

しかし、結局、ルーター、スイッチ、ファイアウォール、アクセスポイントなど数千台の機器に対して下位認証局が発行した ID 証明書をすべて失効させ、新しい ID 証明書で AAA サービスに再登録する必要がありました。

この経験を教訓に、すべての Windows サーバーの自動更新を無効にし、重要なサービスやデータのバックアップをより頻繁に取るようにしました。
 

3. エンドポイントパッチは、既知のデバイスとアプリに対してのみ機能する

パンデミックに伴い、従業員が自宅や会社のネットワークに個人所有のデバイスを接続して仕事をする、Everywhere Work というスタイルに移行しました。 このため、セキュリティチームはシャドー IT となる盲点を抱えていました。 シャドー IT では、資産は管理されず、最新の状態ではない可能性があり、個人のデバイスが危険にさらされたり、アプリケーションからの情報漏洩の原因となっています。

BYOD (Bring Your Own Device: 個人デバイスの業務使用) ポリシーの復活と、会社公認の安全なリモートアクセスの欠如は、組織の外部攻撃面を急速に拡大し、脅威主体が悪用する他の攻撃ベクトルを露出させました。

事例: LastPass の最近の侵害

LastPass は、パスワードをオンライン格納域に保管する、非常に人気のあるパスワードマネージャーです。 2,500 万人以上のユーザーと 10 万社以上の企業が利用しています。 昨年、LastPass は 2 件のセキュリティインシデントを含む大規模なデータ侵害を経験しました。

2 件目のインシデントでは、最初の侵害で盗まれたデータが利用され、4 人の DevOps エンジニア (特にホームコンピューター) が標的にされました。 ある上級ソフトウェア開発者は、個人の Windows デスクトップを使用して、企業の開発用サンドボックスにアクセスしていました。 また、このデスクトップには、パッチが適用されていないバージョンのPlex Media Server (CVE-2020-5741) がインストールされていました。

Plex は 3 年前にこの脆弱性に対するパッチを提供していました。 脅威主体はこの脆弱性を利用してマルウェアを配信し、特権昇格 (PE)、リモートコード実行 (RCE) を行い、LastPass のクラウドベースストレージにアクセスして DevOps のシークレットや多要素 (MFA) およびフェデレーションデータベースを盗み出しました。

Plex は次のように述べています。「残念ながら、LastPass の従業員は、パッチを有効にするためにソフトウェアをアップグレードすることは決してありませんでした。 参考までに、このエクスプロイトに対応したバージョンは、およそ 75 バージョン前です。」

パッチでは十分でない場合、組織はどのようにして外部攻撃面を減らすことができるのか

サイバーハイジーン

従業員は、組織のサイバーハイジーンプログラムにとって最も弱いリンクです。 また、必然的に、個人所有のデバイスの更新を忘れたり、異なるインターネットサイトで同じ弱いパスワードを使い回したり、情報漏洩の原因となるアプリケーションをインストールしたり、電子メールや添付ファイル、テキストメッセージに含まれるフィッシングリンクをクリックしたりタップしたりすることがあります。

このような事態に対処するため、以下のようなサイバーセキュリティに対する認識と警戒を促す企業文化を推進します。

- 個人および会社のデバイスに最新のソフトウェア更新がインストールされていることを確認する。

-フィッシング攻撃など、ソーシャルエンジニアリングの攻撃手法を認識する。

-可能な限り多要素認証を使用する。

- デスクトップ向けのウイルス対策ソフトやモバイルデバイス向けのモバイル脅威対策に関するデータベースのインストールと自動更新を行う。

特にフィッシング対策については、継続的な教育が組織内のサイバー衛生を向上させる鍵となります。  

推奨されるサイバー衛生ツール

サイバーセキュリティでは、「見えないものは守れない」と言われています。シャドー IT資産を含む、ネットワークに接続されたすべてのハードウェア、ソフトウェア、データについて、完全かつ正確なインベントリを確立し、把握することは、組織の脆弱性リスクプロファイルを評価するための重要な第一歩となるものです。 資産データは、企業のエンドポイントパッチ管理システムに入力する必要があります。

また、リスクベースの脆弱性管理 アプローチを導入し、圧倒的な数の脆弱性の中から、組織にとって最大のリスクをもたらすものだけに優先順位をつけることも検討してください。リスクベースの脆弱性管理ソリューションには、脅威インテリジェンスパッチ管理システムに取り込むことがよくあります。

脅威情報とは、組織に対する既知の脅威や潜在的な脅威に関する情報です。 これらの脅威は、セキュリティ研究者、政府機関、インフラの脆弱性やアプリケーションのセキュリティスキャナー、社内外の侵入テストの結果、さらには脅威主体自身など、さまざまな情報源からもたらされます。

さまざまなクラウドから取得されたフィードから報告される具体的なパッチの失敗や信頼性を含むこの情報は、組織が内部のパッチテストの要件を取り除き、重要な資産へのパッチ展開の時間差を短縮するのに役立ちます。

シャドー IT や BYOD などのモバイルデバイスをリモートで管理し、エンドポイントセキュリティを提供するためには、統合エンドポイント管理 (UEM) プラットフォームが必要です。

このソリューションは、最新のモバイルオペレーティングシステム (OS) やアプリケーションへのパッチ適用、電子メールのプロビジョニング、生体認証、スマートカード、セキュリティキー、証明書やトークンに基づく認証などの ID 資格情報や多要素認証 (MFA) 方式を含む安全なリモートアクセスプロファイルの提供を行うことができます。

UEM ソリューションは、モバイルデバイス向けの AI 機械学習ベースのモバイル脅威防御 (MTD) ソリューションも統合する必要があります。デスクトップには、リアルタイムのフィッシング対策でデバイス、ネットワーク、アプリの脅威を検出して修復する堅牢なヒューリスティックを備えた次世代ウイルス対策 (NGAV) が求められます。

そして最後に、AI が生成するマルウェアと闘うために、サイバー衛生ツールは、AI ガイダンスを活用して迅速に進化し、より巧妙なポリモーフィック攻撃に対応する必要があります。

上記のようなソリューションを追加することで、脅威主体の前に障害物を置き、脅威主体を食い止め、被害を受けやすい標的を探し出すことで、サイバー攻撃を抑止することができます。