Vectra AI, Midnight Blizzardからの攻撃・脅威を防御するためにセキュリティ担当者が確認すべき8つのポイントを発表

ハイブリッドおよびマルチクラウド企業向けのAI主導型サイバー脅威検知・対応のパイオニアであるVectra AI（本社：カリフォルニア州サンノゼ、CEO：ヒテッシュ・セス）は、ロシアの対外諜報（ちょうほう）機関とつながりがある「Midnight Blizzard（ミッドナイトブリザード）」による米国大手IT企業に対する巧妙なサイバー攻撃の2024年1月に報道を受け、セキュリティ専門家や担当者が同様の攻撃から企業のデータやシステムを防御するために知っておくべき8つのポイントを発表しました。

 1.Midnight Blizzardによる攻撃の定義と、他のサイバー脅威との違いは？

Midnight Blizzardの攻撃者は、多くの場合フィッシングやサプライチェーンの侵害によって盗まれた認証情報を活用し、最初のアクセスを獲得します。その後、Azure ADの設定ミスや脆弱な権限アクセス制御を悪用して横方向に移動し、権限を昇格させて機密データ、IP、電子メールを盗み出します。Midnight Blizzard 攻撃はBrute-force attack（ブルートフォース攻撃、総当たり攻撃）とは異なり、従来の多要素認証(MFA)をバイパスするため、特に難易度が高くなります。

2.Midnight Blizzardはどのようにして防止策を回避し、企業のインフラにアクセスするのか？

Midnight Blizzardの攻撃者は、Active Directoryの設定ミス、安易すぎるアクセス制御、オンプレミスおよびクラウド環境のパッチ未適用の脆弱性を狙います。また、フィッシングやソーシャル・エンジニアリングなどの手口により、人的ミスを悪用します。 これらを踏まえ、Midnight Blizzard攻撃についてセキュリティ・チームが注意しなければならないことは以下の６項目です。

1. 重要インフラを狙う：Midnight Blizzardの攻撃者は、しばしば組織の重要なインフラに狙いを定めます。これらの基盤要素を侵害することで、サイバー犯罪者は業務を妨害し、貴重なデータを盗むことができます。

2. ゼロデイ脆弱性：Midnight Blizzardの攻撃者は、ゼロデイ脆弱性（ベンダーが未知であったり、パッチが適用されていないソフトウェアの脆弱性）を悪用することがよくあります。サイバー犯罪者は、このような脆弱性を利用してシステムに侵入し、検知を回避し、障害なく悪意のある活動を実行します。このような脆弱性の先を行くことは、セキュリティ専門家にとって常に取り組むべき課題です。

3. 不十分な認証メカニズム：認証の仕組みが脆弱であったり、危殆化したりすることは、Midnight Blizzardの攻撃者が悪用する可能性が高い弱点となります。これには、盗まれた認証情報、脆弱なパスワード、あるいは多要素認証（MFA）の回避が含まれます。サイバー犯罪者は、組織の認証チェーンの最も脆弱なリンクを見つけて悪用し、不正アクセスを行うことができます。認証メカニズムが十分でない場合には、検知と対応の機能の追加が必要です。この機能を導入していない場合には、セキュリティ担当者は数日から数週間、場合によっては数カ月間、攻撃が起こっていることに気づかないかもしれません。 

4. サードパーティへの依存：多くの組織は、継続的なセキュリティ業務のためにサードパーティのベンダーやサービスに依存しています。サイバー犯罪者はこの依存関係を認識しており、しばしばこれらのサードパーティ・システムの脆弱性を狙います。安全性の低いベンダーへの侵入は、攻撃者がターゲットの組織のネットワーク環境に侵入するためのきっかけを作ります。

5. 不十分なエンドポイントセキュリティ：デスクトップ、ラップトップ、モバイルデバイスなどのエンドポイントは、Midnight Blizzardの攻撃者が最も頻繁に利用する侵入口です。サイバー犯罪者は、エンドポイント・セキュリティ・ソリューションの脆弱性を悪用したり、パッチが適用されていないデバイスを直接狙ったりします。いったん侵害されると、エンドポイントは攻撃者がAzure AD環境をナビゲートし、悪意のある目的を実行するための足がかりとなります。

6. 無防備な従業員の悪用：サイバー・セキュリティ・システムにおける最も重大な弱点の1つは人的要素です。Midnight Blizzardは、攻撃時に洗練されたソーシャル・エンジニアリング戦術を採用し、フィッシングメール、悪意のある添付ファイル、または欺瞞的なウェブサイトを通じて、無防備な従業員を悪用します。一旦エントリー・ポイントが確立されると攻撃者はネットワーク内を横方向に移動し、クラウド 、権限を昇格させ、重要なシステムにアクセスできるようになります。米国のIDセキュリティの関連団体であるIDSAが発表したレポートによると、組織の90％が過去1年間にID攻撃を経験しています< https://www.idsalliance.org/white-paper/2023-trends-in-securing-digital-identities/ >。従業員のIDが作り出す複数のエントリー・ポイントに対応できるよう準備しておく必要があります。

 

3.Midnight Blizzardによる攻撃の初期兆候の検知ポイント

Midnight Blizzardによる攻撃の初期兆候を検知し、潜在的な脅威が拡大する前に対抗することがセキュリティ・チームにとって極めて重要です。セキュリティ専門家が注意すべき重要な警告サインには以下の7項目があります。 

1. 異常なユーザー活動：ユーザーの行動を監視することは最も重要であり、異常な行動は潜在的な脅威を示す可能性があります。通常の勤務時間外に機密データにアクセスするアカウントや、権限を昇格させようとするアカウントに注意してください。ユーザー行動からの逸脱した動きは、サイバー攻撃の兆候である可能性があります。

2. 予期せぬシステムアクセス：重要なシステムへの不正アクセスは、明らかな警告サインです。セキュリティ・チームは、特に見慣れない場所やデバイスからの異常なログインがないか、アクセスログを注意深く監視する必要があります。パーミッションの急激かつ予期せぬ変更もまた、Midnight Blizzardによる攻撃の兆候である可能性があります。

3. サイバー攻撃者による回避テクニックの増加：洗練された攻撃者は、セキュリティ対策を迂回するために、しばしば回避テクニックを利用します。セキュリティ・チームは、難読化、暗号化、その他の回避戦術の使用が突然増加し、検出が難しくなっていることに注意する必要があります。

4. 異常なアウトバウンド接続：Midnight Blizzard攻撃は、コマンド＆コントロールサーバへの不正なアウトバウンド接続の確立を伴う可能性があります。予期せぬアウトバウンド接続や既知の悪意のあるIPアドレスとの通信を監視することは、脅威を早期に検知するために極めて重要です。

5. エンドポイント保護システムからのセキュリティ警告：エンドポイント保護システムは、防御の第一歩といえます。セキュリティ・チームは、これらのシステムによって生成されたアラートを迅速に調査し、対応する必要があります。なぜなら、これらのアラートは、個々のデバイスにおける悪意のある活動を早期に示す可能性があるからです。

6. システムログの異常なパターン：システムログを定期的に分析することは、異常を発見するために極めて重要です。予期せぬエラー、繰り返されるログイン失敗、異常なシステムログのパターンから、システムへの侵入や侵害の企てが明らかになるかもしれない。

7. フィッシングの急増：フィッシングは依然としてサイバー犯罪者の一般的な侵入経路です。フィッシングの試みが突然増えたり、不審な電子メールが報告されたりした場合は、セキュリティ・チームの意識を高め、さらに精査する必要があります。

 

4.Midnight Blizzardから攻撃された組織が被る打撃

Midnight Blizzardによる攻撃の余波は、組織に壊滅的な打撃を与え、直接的な金銭的損失だけでなく、連鎖的な影響をもたらします。以下は、Midnight Blizzardの攻撃による重大な影響の一部です。 

• 財務上の損失：Midnight Blizzard攻撃の直接的かつ具体的な影響の一つは、経済的損失です。経済的損失には、システム復旧に関連する費用、法的影響、規制当局による罰金の可能性などが含まれます。

• 操業中断：Midnight Blizzardの攻撃者は、組織の通常の業務を妨害しようとします。重要なサービスを停止させたり、通信手段を麻痺させたりすることで、日々の業務に深刻な影響を及ぼします。長時間のダウンタイムは、生産性の低下、ビジネスチャンスの逸失、契約上のペナルティの可能性をもたらします。

• データ漏洩の影響と風評被害：Midnight Blizzardの攻撃が機密データへの不正アクセスを伴うものであった場合、その影響は本格的なデータ侵害にまで及ぶ可能性があります。当面の金銭的な影響にとどまらず、企業は法的な影響、規制当局からの罰金、風評被害に直面する可能性があります。顧客の信頼を失うことは、市場におけるブランドの地位にも永続的な影響を及ぼしかねません。

• 法的および規制上の影響：Midnight Blizzardの攻撃による影響は、法律や規制の領域にまで及びます。組織は、影響を受けた当事者からの訴訟、規制当局による調査、データ保護規制の不遵守に対する罰金に直面する可能性があります。このような法的な課題に対処することは、ただでさえ困難な復旧プロセスに、さらに複雑な作業を追加することになります。

 

5.Midnight Blizzardのようなサイバー攻撃者から組織を守るには

絶え間なくサイバー脅威にさらされている状況では、Midnight Blizzardのような攻撃者の洗練された戦術を凌駕できる高性能なセキュリティ・ソリューションが不可欠です。他のソリューションとは異なり、Vectra AI は最先端の人工知能と機械学習アルゴリズムを活用して攻撃者の行動をリアルタイムで分析します。そしてセキュリティ・チームは微妙な異常を識別することができるとともに潜在的な攻撃に対する早期警告システム<https://ja.vectra.ai/blog/platform-blog>を提供します。 

 

Vectra AI はセキュリティ・インシデントに迅速に対応し、脅威が拡大する前に緩和する上で極めて重要な役割を果たします<https://ja.vectra.ai/blog/microsoft-cross-tenant-synchronization>。新たな戦術やテクニックに継続的に対応することで、セキュリティ・チームがダイナミックなシールドと攻撃者の行動を文書化した有用な教育リソースで武装し、変化する脅威の状況に合わせて進化できるようにします。 

 

6.Midnight Blizzardが使う新たな戦術やテクニックに対抗するにはAI技術がカギ

Midnight Blizzardのような攻撃者が新たな戦略を採用する中、Vectra AI は高度な機械学習アルゴリズムと振る舞い分析を活用し、新たな脅威パターンを学習、適応、予測します。Vectra AI の機械学習モデルは、膨大な量のデータを分析し、新たな攻撃手法のシグナルとなり得るわずかな異常も特定することができます。この絶え間ない学習プロセスにより、絶えず変化する手口に直面した場合でも、常に先手を打つことができるのです。そのため、攻撃者が適応しても、Vectra AI はより迅速に適応し、防御が常に一歩先を行っているという安心感を提供します。

 

7.誤検知を最小限に抑え、脅威を正確に検知するための対策

誤報はセキュリティ専門家にとって悩みの種であり、時間とリソースを浪費します。Vectra AI は、本当に重要な脅威だけに集中できるようにする多方面からのアプローチを提供します。 

• 教師なし機械学習：Vectra AI は、新たな脅威を見逃す可能性のある事前定義されたルールには依存しません。その代わりに、当社の教師なし機械学習モデルがお客様固有の環境を分析し、正常な動作のベースラインを確立します。このベースラインからの逸脱は潜在的な脅威としてフラグ付けされ、無害なアクティビティによる誤検出を大幅に減らします。

• 振る舞い異常検知：Vectra AI プラットフォームは、個々のイベントを超えて、アクションのコンテキストとシーケンスを理解します。これにより、従来のシグネチャベースの検知では見逃してしまうような微妙な振る舞い の異常を特定し、正当な活動に紛れ込もうとする最も巧妙な攻撃者をも捕捉することができます。

• 脅威モデルに基づく相関分析：現実世界の攻撃者の戦術とテクニックに関する当社の知識は、当社のAIモデルに反映されています。これにより、一見バラバラに見える事象を関連付け、まとまりのある攻撃シナリオを作成し、誤検知を最小限に抑え、最も重大な脅威を優先する忠実度の高いアラートを提供することができます。

• 継続的な改良：当社のセキュリティ専門家チームは、実際の攻撃データやお客様からの継続的なフィードバックに基づいて、AIモデルを継続的に改良しています。これにより、脅威の状況が変化しても、高い精度を維持することができます。

 

8.既存のサイバーセキュリティ・インフラを強化する

Vectra AI は、コラボレーションを重視し、組織が導入している既存のセキュリティ・ツールとシームレスに統合し、防御の能力を高めます。Vectra AIはセキュリティ・オーケストラの指揮者のように、顧客企業のSIEM（Security Information and Event Management）、EDR（Endpoint Detection and Response）、SOAR（Security Orchestration Automation and Response）からデータを取り込み、AIを活用した脅威検知機能でデータを強化します。取り込んだデータを統合し、一貫性をもったデータの可視化を可能にします。 

• 異種イベントの関連付け： Vectra AI は、セキュリティ・ツール間の点と点を結びつけ、広範な攻撃キャンペーンを示す可能性のある隠れた関係を明らかにします。

• 効果的な優先順位付け：当社の AIが重要度とコンテキストに基づいてアラートに優先順位を付け、セキュリティ・チームが最も重要な脅威に最初に集中できるようにします。

• ワークフローの自動化：SOARの統合機能を活用して、インシデントに対するレスポンスを自動化し、時間とリソースを低減します。

• 既存ツールの強化： Vectra AI は既存のソリューションを置き換えるのではなく、AIの力でそれらを強化します。その結果、より効率的で効果的なセキュリティ体制が構築され、すべてのツールが調和してお客様の安全を守ります。 

• MFAの限界を見極める：ＭFAは重要な防御のレイヤーですが、盗まれた認証情報や人的ミスを悪用する高度な攻撃を阻止するには十分ではありません。より深いレベルの可視化とリアルタイムの脅威検知が必要であり、Vectra AI の ID脅威の検知・対応 (ITDR) が有効です。ITDRはMFAの限界を超え、IDインフラに可視性を提供します。当社のAI主導のソリューションは、ユーザーの行動、特権アクセス、ネットワークおよびクラウドのアクティビティを分析し、正当な行動の中にあっても疑わしい攻撃者の行動を検知 。これにより、脅威が拡大する前にその脅威を特定し、無力化することができ、データ漏洩やその他の壊滅的な影響を防ぐことができます。

 

Vectra AIについて

Vectra AIは、ハイブリッド攻撃の検知、調査、対応におけるリーダーです。Vectra AI Platformは、パブリッククラウド、SaaS、アイデンティティ、データセンターのネットワークにわたる統合シグナルを単一のプラットフォームで提供します。Vectra AIの特許取得済みのAttack Signal Intelligence ™により、セキュリティ・チームは最先端のハイブリッド・サイバー攻撃を迅速に検知、優先順位付け、調査、対応することができます。AI主導の検知に関する35件の特許と、MITRE D3FENDにおける最多のベンダーリファレンスにより、世界中の組織がハイブリッド攻撃者のスピードと規模に合わせて動くために、Vectra AIプラットフォームとMDRサービスを信頼しています。詳細については、https://ja.vectra.ai/ をご参照ください。製品デモについては、https://ja.vectra.ai/demoからお問合せください。Vectra AIではNDRの進化とVectra AIについてマンガを通してご紹介しています。https://ja.vectra.ai/resources/infographics/jp-ndr-has-evolved-so-far-vectra-ai-explained-comic