ハイブリッド型サイバー攻撃の手法とは？Vectra AI,がセキュリティ担当者が知っておくべき対処のポイントを提言

ハイブリッドおよびマルチクラウド企業向けのAI主導型サイバー脅威検知・対応のパイオニアであるVectra AI（本社：カリフォルニア州サンノゼ、CEO：ヒテッシュ・セス）は、拡大するハイブリッド攻撃手法を５つのタイプに分類し、セキュリティ担当者が注意すべきポイントを発表しました。

その内容は、このたびVectra AIが発行した、「新たなハイブリッド攻撃手法の内訳(A Breakdown of Emerging Attacker Methods)」（英文）＜https://ja.vectra.ai/resources/ebooks/a-breakdown-of-emerging-hybrid-attacker-methods＞と題する無料でダウンロードできる電子書籍に掲載されています。分類した5つのハイブリッド攻撃は以下の通りです。

1. 多要素認証 バイパス攻撃：サイバー犯罪者がユーザーアカウントへのアクセスを得るために多要素認証 (MFA) ツールを回避する攻撃手法

2. スペア・フィッシング攻撃：特定の組織や人物を狙って偽のEメールを送信し、個人情報を収集する標的型フィッシング攻撃

3. リビングオフザランド攻撃(環境寄生型攻撃)：攻撃者がターゲットとなるシステムを侵害した後、更なる侵害のためにマルウェアやハックツールを追加で送り込むことなく、侵害したシステム内にBuilt-inとして存在するツールやバイナリを活用して攻撃を継続する手法。

4. クレデンシャル・スタッフィング攻撃：認証情報を使い総当たり的に検証する攻撃手法

5. ゼロデイ攻撃：ほとんど知られていないセキュリティ上の脆弱性を突いた未知の攻撃

Vectra AIは、ハイブリッド型のサイバー攻撃者の戦術を、脆弱性を悪用した攻撃を戦術とテクニックの観点で分類したナレッジベースであるMITRE ATT&CK＜https://attack.mitre.org/＞と照合し、各戦術が企業インフラのどこで検知されたのか、セキュリティ担当者は防御にあたり、どのように優先順位を付けるべきかを検証しました。この電子書籍を読めばセキュリティ担当は攻撃者による企業インフラへの侵入方法、権限の昇格や横方向への移動、攻撃者の考え方を理解でき、攻撃過程の早い段階で阻止するためのヒントを得ることができます。

この電子書籍の発行に伴い、Vectra AIは、セキュリティ担当者に向けてハイブリッド攻撃防御の方法について注意すべき点をまとめました。

１）ハイブリッド攻撃を防御するために必要なことは？

ハイブリッド攻撃とは、あらゆる対策を施しているにもかかわらず、インフラの様々なところから巧妙に侵入し、スピードを上げた感染拡大、横移動を行い大規模に業務を妨害する攻撃のことです。企業がハイブリッド環境に移行する中、攻撃者もハイブリッド環境を前提とした攻撃手法を展開しているため、被害は広がっています。ハイブリッド攻撃者は企業が構築した防御機能を迂回し、IDを侵害し、特権を昇格および隠れながらドメイン間を横移動するため、攻撃の阻止を困難にしています。

2023 年版脅威検出の現状 レポート<https://ja.vectra.ai/resources/research-reports/2023-state-of-threat-detection>によると、セキュリティ・チームは 1 日あたり平均 4,484 件のアラートを受信するものの、そのうちの 3 分の 2 以上 (67%) を無視せざるを得ません。そしてセキュリティ・アナリストの97%が、アラートの発生件数が多すぎるため、本当に対応すべきセキュリティ・イベントを見逃すのではないかと心配している、と回答しています。

Vectra AIはこれを「スパイラル・オブ・モア（セキュリティ懸念事項の負の連鎖）<https://ja.vectra.ai/resources/infographics/hybrid-enterprises-and-the-spiral-of-more>」と名付けました。このスパイラルとは、ハイブリッド攻撃者が作り出す膨大な量のノイズと、それに伴って発生するセキュリティ・チームに課される作業量が継続的に拡大している状況を表現しています。より多くのアタックサーフェス、より多くの侵害、より多くのギャップ、より多くの死角、より多くのツール、より多くの検出、より多くのアラート、より多くの誤検出によって生じるセキュリティ課題とも言えます。

２）複数の領域で発生するハイブリッド攻撃に対処する最適解は？

企業のITインフラ環境がハイブリッドになったため、システムのあらゆる領域が脅威にさらされるようになりました。攻撃者はデータセンターだけでなく、パブリッククラウド、SaaS、IaaS、PaaS、インスタンスID（コンピューター上の同じ種類の他のデバイスとデバイスを区別する情報）、エンドポイントなど、多様なポイントから侵入してくるかもしれません。

上記の電子書籍で取り上げた攻撃には、複数の攻撃対象領域が含まれています。EDR (エンドポイント脅威検出と対応)保護を導入している企業に対して攻撃者は正面からエンドポイントを通じて侵入することはありません。しかし攻撃者は別のルートからセキュリティーを突破するかもしれないし、エンドポイント保護を迂回することもあります。さらに、認証情報が盗まれ、VPNアクセスを取得したり、その両方であったり、まったく別の攻撃手法であったりしますが、攻撃を阻止する鍵は、インフラに侵入されてしまった後、どれだけ早く発見することができるかです。

３）IDベースの戦術がハイブリッド攻撃の焦点

Vectra AIの電子書籍で取り上げた５つの攻撃事例では、複数の攻撃対象領域が含まれており、同時に、それらすべてで“盗まれた管理者の認証情報“または”パスワード“が利用されていました。Google Cloudの2023年版Threat Horizons Report<https://services.google.com/fh/files/blogs/gcat_threathorizons_full_jul2023.pdf>によると、「認証情報の問題は引き続き重要な課題であり、侵害要因の60%以上を占めている」とのことです。

パスワードが漏洩した際、セキュリティ担当は不正なアカウントアクセスを防ぐ方法として主にMFA(多要素認証)を使用しますが、攻撃者はIDを侵害するためにあらゆる方法を試行します。一例として、スピアフィッシング（特定の組織や人物を狙って偽のEメールを送信し、個人情報を収集する標的型フィッシング攻撃のこと）または最新のAI主導の攻撃手法などがありますが、IDの侵害手法に関わらず、<https://ja.vectra.ai/blog/top-5-situational-risks-for-identity-based-attacks>。企業が これを阻止するには、IDの侵害をどれだけ早く検出し、優先順位を付け、対応するかが重要です。

４）ハイブリッド攻撃者は、侵害後に身を隠す

セキュリティは個々の攻撃対象領域の観点から考察されます。しかしサイバー攻撃者の観点は違います。攻撃者は、その対象を「1つの巨大なハイブリッド攻撃領域」ととらえます。TechTargetの記事<https://www.techtarget.com/searchsecurity/news/252523561/VMware-The-threat-of-lateral-movement-is-growing>によると、すべてのサイバー攻撃の 25% が ラテラルムーブメント（外部の攻撃者やマルウェアが企業の内部ネットワークの侵入に成功した後、ネットワーク内を横移動し侵害範囲を拡大していく攻撃手法）に関連した方法をとっていると報告しています。つまり、攻撃者がハイブリッド環境内を移動しているということです。その定義では、統計はおそらく25%よりはるかに高いはずです。

私たちが検証したサイバー攻撃のほとんどは何らかの横移動をしています。攻撃者は、ある攻撃対象領域から別の攻撃対象領域に移動する方法を見つけ出し、侵入のための資格情報を取得し、Living of the land 攻撃（攻撃者がターゲットとなるシステムを侵害した後、更なる侵害のためにマルウェアやハックツールを追加で送り込むことなく、侵害したシステム内にBuilt-inとして存在するツールやバイナリを活用して攻撃を継続する手法 )<https://ja.vectra.ai/resources/attack-anatomies/volt-typhoon> を実施し、インフラ内を偵察し、環境について学習できるように、あらゆるアクセス権を使用して可能な限り移動します。ラテラルムーブメントは一例ですが、ハイブリッド攻撃者を阻止するには、脅威を確実に検知し、レスポンスの優先順位を付けて迅速に対応しなければなりません。

５）早い段階で発見できればハイブリッド攻撃は阻止できる

企業インフラへの初期アクセスを確立し、認証情報を盗み、攻撃範囲を拡大するために横方向に移動し、最終的に損害を与えるハイブリッド攻撃を検知することは非常に困難です。一方でセキュリティ・アナリストが攻撃を阻止できるようにセキュリティ・ツールからのアラート条件を追加しても問題は解決しません。セキュリティ・アナリストの71％が、自分たちの組織が侵害された可能性があっても、そのことを知ることはなかったと認めていることからもどれほどハイブリッド攻撃からの防御が難しいかわかります。

ここで重要な点は、サイバー脅威検知には迅速性が求められるということです。私たちが解析したハイブリッド攻撃の事例において、さまざまな攻撃者の手法を検知しているだけではなく、セキュリティ・チーム側が適切なタイミングでアクション、対応できるように情報の優先順位が付与されています。認識するべき点としては、ハイブリッド攻撃検知ソリューションを複数使うのではなく、セキュリティ・チームが注意深く、素早く、自分たちの知見を駆使して防御できるような攻撃シグナルを受け取り、早い段階で対応できれば、防御は可能であるということです。

「新たなハイブリッド攻撃手法の内訳(A Breakdown of Emerging Attacker Methods)（英文）」は、＜https://ja.vectra.ai/resources/ebooks/a-breakdown-of-emerging-hybrid-attacker-methods＞から無料でダウンロードできます。

Vectra AIについて

Vectra AIは、ハイブリッド攻撃の検知、調査、対応におけるリーダーです。Vectra AI Platformは、パブリッククラウド、SaaS、アイデンティティ、データセンターのネットワークにわたる統合シグナルを単一のプラットフォームで提供します。Vectra AIの特許取得済みのAttack Signal Intelligence ™により、セキュリティ・チームは最先端のハイブリッド・サイバー攻撃を迅速に検知、優先順位付け、調査、対応することができます。AI主導の検知に関する35件の特許と、MITRE D3FENDにおける最多のベンダーリファレンスにより、世界中の組織がハイブリッド攻撃者のスピードと規模に合わせて動くために、Vectra AIプラットフォームとMDRサービスを信頼しています。詳細については、https://ja.vectra.ai/ をご参照ください。製品デモについては、https://ja.vectra.ai/demoからお問合せください。Vectra AIではNDRの進化とVectra AIについてマンガを通してご紹介しています。https://ja.vectra.ai/resources/infographics/jp-ndr-has-evolved-so-far-vectra-ai-explained-comic