重大なサイバー攻撃の26％がActive Directoryを標的に CiscoがファイアウォールにIDベースの動的防御を追加：著名企業の認証情報は約15万〜47万円で取引されている

Cisco Talosの調査によると、2024年の主なインシデントの約60％に認証情報を悪用したID攻撃が関係していたという。

[＠IT]

　Cisco Systemsは2025年11月18日（米国時間）、ファイアウォール製品「Cisco Secure Firewall」の新機能として、認証基盤の情報を統合して防御を行う「Cisco Identity Intelligence」との連携を発表した。

　背景にあるのは、正規の認証情報を悪用してネットワークに侵入する攻撃の常態化だ。従来のファイアウォールはIPアドレスやポート番号といったネットワークトポロジーを基準に制御するので、正しいアイデンティティー（ID）とパスワードを持った攻撃者が「正規のユーザー」になりすましてアクセスしてきた場合、それを見抜くことが困難だった。

重大なサイバー攻撃の約26％がActive Directoryを標的に

　脅威インテリジェンス調査チーム「Cisco Talos」によると、2024年の重大なサイバー攻撃インシデント対応事例の約60％にID攻撃が関係しており、そのうち44％が「Microsoft Active Directory」を標的にしていたという。IDベースの侵害の20％は、クラウドアプリケーションまたはサービスプロバイダーAPIに関連していた。

　攻撃を助長しているのが、ダークWebにおける認証情報の安価な取引だ。メールや金融サービスの認証情報、SSHパスワードやセッションクッキーが10〜15ドル（約1570〜2355円、＜1ドル=約157円の為替レートで換算＞以下同）程度で大量に販売されており、高度な攻撃ツールキットも50〜750ドル（約7850〜11万7750円）で入手できてしまう。著名企業の認証情報は1000〜3000ドル（約15万7000〜47万1000円）で取引されているという。

　企業内ではAPIやサービスアカウントなどのマシンIDが急増しており、その数はユーザーIDの82倍に達しているという。Gartnerも2025年の評価基準において「IDを中心にしたリスクベースの制御」を主要な要件として挙げており、ファイアウォールに求められる役割が「通信の制御」から「IDの監視」にシフトしている現状がうかがえる。

ユーザーの「振る舞い」を見てポリシーを自動変更

　こうした課題に対しSecure Firewallは、次期バージョン（10.0リリース）から管理コンソール「Firewall Management Center」（FMC）を通じてCisco Identity Intelligenceと連携するようになる。

　連携により、Active Directoryや「Microsoft Entra ID」（旧「Azure Active Directory」）、「Okta」などの認証基盤から得られる情報に加え、ユーザーの行動ログを統合的に分析。「あり得ない場所からのアクセス」「MFA（多要素認証）疲労攻撃の兆候」といった異常な振る舞いを検知すると、そのユーザーのリスクスコアを引き上げる。

Secure Firewallの管理画面における動的ファイアウォールポリシー設定（提供：Cisco Systems）

　リスクスコアが高まったユーザーに対しては、ファイアウォールのポリシーが動的に変更される。「低リスクユーザーは監視のみ」「中リスクは追加認証（ステップアップ認証）を要求」「高リスクはアクセスの遮断」といった対応が自動化される。

　分析機能「AIOps Security Insights」では、リスクの根本原因や影響を受けるユーザー、推奨される修復手順が可視化され、迅速な対処を支援する。

　ハイブリッド環境への対応として、「Cisco Secure Dynamic Attribute Connector」も提供される。「Amazon Web Services」「Microsoft Azure」「Cisco Application Centric Infrastructure」（ACI）やVMware製品などのワークロード属性をリアルタイムに取得し、IPアドレスが変わってもポリシーを維持、追従させる。

　ネットワークアクセス制御製品「Cisco Identity Services Engine」（ISE）とも連携することで、ユーザー属性や端末の健全性に基づく細かなアクセス制御を支援する。