Microsoftが警告、認証情報の悪用によるサイバー攻撃の教訓とはプッシュボミングで企業ネットワークに侵入

Microsoft Incident Responseは、顧客企業の環境でプッシュボミング(プッシュ疲労攻撃)が行われていたことを発見し、対応、復旧活動を行った事例に関するレポートを発表した。

» 2023年05月09日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Microsoftのインシデント対応部門であるMicrosoft Incident Responseは2023年4月26日(米国時間)、顧客企業からの依頼に応じて侵入調査を行い、プッシュボミング(プッシュ疲労攻撃)が行われていたことを発見し、対応、復旧活動を行った事例に関するレポートを発表した。レポートは、同事例から学べる教訓も盛り込んでいる。

 プッシュボミングは、攻撃者が、盗まれたり、漏えいしたりした認証情報を悪用し、botやスクリプトで大量のアクセスを試行するというもの。これにより、標的としたユーザーのデバイスに、多要素認証(MFA)の確認を求めるプッシュ通知が多数送り付けられる。

 その結果、ユーザーが混乱し、誤って認証を許可する場合がある。また、ユーザーがMFA疲れから、アクセス試行を正当なものと勘違いして、認証を許可することもある。ユーザーが、1回誤って認証を許可すると、攻撃者は自分のデバイスを認証、登録して、組織のアプリケーション、ネットワーク、ファイルにアクセスできるようになる。

 Microsoftが発表した「The inCREDible attack - Building healthy habits to fight off credential attacks(inCREDible攻撃:認証情報攻撃を撃退するための健全な習慣の構築」と題されたレポートは、Microsoft Incident Responseのレポートシリーズ「Cyberattack Series」の第2弾。このレポートシリーズでは、ユニークで注目すべきエクスプロイト(脆弱《ぜいじゃく》性の悪用)を同部門がどのように調査しているかを紹介している。

 最新レポートで取り上げた事例は、2022年末にある大企業がMicrosoft Incident Responseに、オンプレミスのActive Directory環境への侵入について調査を依頼したことに端を発している。継続的な脅威のリスクと警戒の必要性から、レポートではこの企業と攻撃者を匿名とし、このインシデントを「inCREDible攻撃」と呼んでいる。

 同レポートは、「inCREDible攻撃はどのように行われたか」「Microsoft Incident Responseが行った対応、復旧」「この事例から他の組織が学べる教訓」について解説している。概要は以下の通り。

inCREDible攻撃はどのように行われたか

 Microsoft Incident Responseの調査により、以下のことが分かった。

  • 攻撃者は、電話など複数の手段によるソーシャルエンジニアリングを通じて、前述した大企業の環境へのアクセスを試みた
  • プッシュボミングによって、この企業のMFAシステムに対し、自身が管理するモバイルデバイスの認証、登録に成功した
  • 以後、このデバイスを使ってこの企業の環境にアクセスし続け、攻撃を試みた

 以下では、このデバイスの認証、登録が行われた日を「ゼロ日目」として、攻撃者がどのように攻撃を仕掛けたかを時系列で示す。

  • 1日目:攻撃者が管理するデバイスから約24時間かけて、数百台のシステムをスキャンした
  • 2日目:4台のサーバ上の認証情報にアクセスするためのツールを作成、実行した
  • 3日目:ドメイン管理者のパスワードを変更し、Active Directoryデータベースをドメインコントローラー(DC)にステージングした。攻撃者が管理するデバイスへの約20GBのアウトバウンドネットワークトラフィックが観測されている
  • 4日目:バックアップサーバを狙った破壊的なマルウェアを実行した(脅威エミュレーションツール「Cobalt Strike」が実行され、すぐにウイルス対策ソフトウェアで隔離された)
  • 4日目:Active Directoryデータベースを2番目のDCにステージングした。このシステムから、攻撃者が管理するデバイスへのアウトバウンドネットワークトラフィックは観測されていない
  • 5日目:攻撃者が管理するデバイスから12台のシステムに対して「Mimikatz」を実行した。Mimikatzは、Windowsのメモリ上の認証情報にアクセスし、管理者権限を盗み取ったり、他のアカウントになりすましたりするために悪用されるオープンソースのエクスプロイトツール
  • 6日目:攻撃者が管理するデバイスとのCommand and Control(C&C)通信を確立する「a.bat」を起動するようにスケジュールされたタスクを、6台のサーバ上に作成した
  • 6日目:複数のサーバ上のファイルやディレクトリを閲覧した
  • 9日目:攻撃者が管理するデバイスからサーバに対してMimikatzと「AdFind」を実行した。AdFindは、悪用されることが多いオープンソースのActive Directory情報収集ツール
  • 10日目:攻撃者が管理するデバイスから2台のサーバに対してMimikatzとImpacketのsecretsdump.pyを実行した。Impacketは、SecureAuthが開発するオープンソースのPythonライブラリで、secretsdump.pyは、パスワードハッシュなどの情報をダンプする。Impacketはセキュリティツールだが、悪用されることが多い
  • 11日目:攻撃者が管理するデバイスからサーバに対してImpacketのsecretsdump.pyとAdFindを実行した

Microsoft Incident Responseによる対応、復旧

 Microsoft Incident Responseは、攻撃者がプッシュボミングによって、自身が管理するモバイルデバイスの認証、登録をした日をゼロ日目として、7日目から戦術的修正に着手し、以下の対応を取ることで、攻撃者の目的達成を阻止した。

 Microsoft Incident Responseは8日目から12日目までに、以下を行った。

調査結果のレビュー

 調査結果を基に、復旧時に何を緩和すべきかを判断した。

指標の文書化

 修正のために、影響を受けたシステムを特定した。その中にはマルウェア感染システム、侵害されたアカウント、C&Cチャネルなどが含まれる。

ディレクトリデバイスのレビュー

 攻撃者が悪用する可能性がある高リスクの構成をチェックした。

重要資産の特定

 保護する必要がある他の重要資産を分析し、必要な変更を行うためのワークショップを実施した。

 Microsoft Incident Responseが13日目以降に行った活動は以下の通り。

  • 13日目:今後数週間にわたる一連の活動をまとめた復旧計画を作成した
  • 20日目:レビュー中に特定された重要なセキュリティ問題に対処し、修正を行い、Active DirectoryとAzure Active Directoryの防御を強化した
  • 27日目:特権アカウントの処分計画と修正を実行し、リスクの最小化と必要な管理レベルの確立を図った
  • 34日目:横展開(ラテラルムーブメント)による攻撃者の侵害拡大を防ぐため、グループポリシーを展開し、モニタリングを開始した
  • 41日目:復旧時と今後における推奨プラクティスについて知識とトレーニングを提供した
  • 48日目:現在の潜在的な攻撃者を抑止するために、予定していた活動を短期間で行い、最終的な防御強化とアカウント修正を実施した

 Microsoft Incident Responseは、従来の経験から、これらの対応、復旧を行わなかった場合は、攻撃者が以下のことを行っていた可能性があると述べている。

  • 環境内でランサムウェアを展開、実行する
  • 社内から知的財産などのデータを持ち出す(恐喝のために)
  • 重要資産やバックアップなどのデータを破壊し、通常のビジネス業務を停止させる

同事例から他の組織が学べる教訓

 Microsoft Incident Responseは、同事例から他の組織が学べる教訓として、攻撃リスクの最小化に役立つ健全な習慣を確立するための4つの基本的なステップと、ランサムウェア攻撃に対する強固な防御を維持するのに役立つ、多層防御アプローチの5要素も紹介した。

攻撃リスクの最小化に役立つ健全な習慣を確立するための4つの基本的なステップ

  1. 特権昇格を積極的に防止し、リスクを軽減する
  2. IDの検証、権限の削除/縮小を定期的に行う
  3. コントロールを分離し、再構築する
  4. 継続的な戦術的モニタリングを確立する

ランサムウェア攻撃に対する多層防御アプローチの5要素

  • MFA保護を強化するために、「ナンバーマッチング」または同様の機能を備えたMFAを使用する。ナンバーマッチングは、プッシュ通知を受け入れ、一致する番号を入力するものだ
  • Sysmon(システムモニター)やコマンドラインによるプロセス監査など、ベストプラクティスに従ってWindows監査ポリシーを構成する
  • OSとネットワークインフラのログを最低180日間、一元的に収集する。理想的には、SIEM(セキュリティ情報およびイベント管理)システムを導入する
  • 全てのエンドポイントにEDR(エンドポイント検知および対応)ソリューションを導入する
  • Active Directoryの階層モデルを導入し、Microsoftの「Best Practices for Securing Active Directory」(Active Directoryのセキュリティ保護に関するベストプラクティス)に従う

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。