デフォルト認証情報を今すぐ変更せよ：CERTポーランドエネルギー部門報告書が示す厳しい教訓

報告書は、攻撃者が既知の経路から侵入した複数の事例を概説している。フィッシングメール、悪意のある添付ファイル、侵害されたウェブサイト、公開されたサービスは、いずれも一般的な侵入起点であった。単一のエンドポイントが侵害されると、攻撃者は正当なツールと標準プロトコルを用いて、静かに移動することに注力した。

内部ネットワーク内のデバイスは安全であると想定されることが多かった。この想定は誤りであったことが判明した。ネットワーク機器、管理インターフェース、運用システムには、デフォルトまたは共有された認証情報が設定されたまま導入されることがあった。ごく一部のケースでは、攻撃者はエクスプロイトを全く必要とせず、単純にログインしただけだった。

リモートアクセスも一因となった。VPN接続は常に厳密に監視されていたわけではなく、認証制御は環境によって異なっていた。接続後、攻撃者はRDPセッションとSMBファイル共有を利用して横方向に移動し、通常のトラフィックに紛れ込み、即時的な検知を回避した。

デフォルトの認証情報は最も回避可能なリスクの一つでありながら、実際のインシデントで依然として確認されている。本報告書は、これがインターネットに接続されたデバイスだけの問題ではないことを明らかにしている。OTコンポーネントや管理サーバーを含む内部システムにおいても、変更されていない認証情報や広範な管理者アクセス権が放置されていた。

攻撃者はまずこれらの隙を狙う。見つけると、素早く静かに制御権を掌握する。

デフォルト認証情報の変更、共有アカウントの制限、特権アクセスに対する説明責任の徹底は、高度な対策ではなく基本中の基本である。これらが欠けていると、他のあらゆる対策が困難になる。

特筆すべきは、エンドポイントセキュリティツールが一部のケースで悪意のある活動を検知した点である。これにより被害の拡大は抑えられた。しかし、検知はマルウェアが既に実行された後に行われることが多かった。

マルウェアが実行されると、攻撃者は認証情報を窃取し、設定を変更し、永続性を確立できます。その時点で、対応はより複雑化し、より大きな混乱を招くことになります。

本報告書は、ファイルの実行前に検査を行う重要性を強調している。電子メールの添付ファイル、ダウンロードファイル、およびリムーバブルメディア経由で導入されるファイルは、運用システムに到達する前にスキャンおよび消毒すべきである。侵入経路で脅威を阻止することで、事後のクリーンアップ作業を減らすことができる。

報告書に記載された複数の事案は、派手な攻撃手法ではなく横方向の移動を伴うものだった。具体的には、システム間のRDPセッション、ツール移動に利用されたSMB共有、そして時間の経過とともに侵入経路を開く小さな設定変更などが挙げられる。

内部通信の監視は極めて重要である。東西方向のトラフィックはインターネット向け活動に比べて注目されにくい傾向があるが、攻撃者が内部に侵入した後に最も多くの時間を費やす領域である。

設定変更にも同等の注意を払うべきです。Firewall 、VPN設定、Active Directoryの権限は、黙って変更されるべきではありません。組織は、何が変更されたか、誰が変更したか、その理由を明確に把握する必要があります。予期せぬ変更は、侵害の最も早い兆候であることが多いのです。

報告書はまた、攻撃者がログ記録と復旧プロセスを標的とする手法も明らかにしている。一部の事例では、ログが削除または改ざんされ、調査が遅延し、発生した事象の理解が制限された。

監査ログは、攻撃者が改ざんや消去できない安全な場所に転送されるべきである。理想的には、ログは一方向のみに移動する。攻撃者がログを削除できる場合、彼らは自らの痕跡を隠蔽できる。

バックアップにも同等の注意が必要です。多くの組織は設定のバックアップは行うものの、ファームウェア、システム全体のイメージ、エンドポイントの状態は軽視しがちです。ファームウェアやシステムバイナリが侵害された場合、設定のバックアップだけでは不十分です。クリーンなファームウェア、サーバーのバックアップ、信頼できるエンドポイントイメージが復旧には不可欠です。