Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告：攻撃方法の詳細は分析中

Cisco Systemsは多要素認証が設定されていないVPNを標的にしたランサムウェア「Akira」を報告した。

[＠IT]

　Cisco Systemsは2023年8月24日（米国時間）、多要素認証が設定されていないCisco VPNを標的にしたランサムウェア「Akira」の攻撃で、同社顧客のシステムが被害を受けたと発表した。

　VPNの実装、利用において多要素認証（MFA）を有効にすることの重要性は明らかだ。MFAを導入することで、組織はランサムウェア感染を含め、不正アクセスのリスクを大幅に低減できる。ブルートフォースアタック（総当たり攻撃）により、攻撃者がユーザーのVPN認証情報を取得した場合でも、MFAなどの追加の保護を設定することで攻撃者がVPNに不正アクセスすることを防げると、Ciscoは述べている。

ランサムウェアのAkiraとは

　Ciscoによると、Akiraの最初の報告は2023年3月にさかのぼる。Akiraに関与する攻撃者は、Torネットワーク上のWebサイト（.onionドメインを持つ）を運営し、さまざまな恐喝戦略を用いている。身代金の要求が満たされない場合、被害者と盗み出された情報をリストアップする。被害者は、このTorベースのサイトを通じて犯罪者に連絡し、受け取った身代金メッセージに含まれる一意の識別子を使用して交渉を開始するよう指示される。

MFAを使用しないVPNを標的に

　VPNを標的にする場合、攻撃者は一般的に、公開されたITサービスやアプリケーションを利用する。Akiraは、MFAを利用していないVPNを標的とし、VPNソフトウェアなどの既知の脆弱（ぜいじゃく）性に注目し、標的ネットワークへの足掛かりを得ると、LSASS（Local Security Authority Subsystem Service）ダンプを通じて認証情報の抽出を狙う。

　認証情報の取得後は、システムに不正アクセスしたり、権限を昇格させたりしようとする。攻撃者の多くはLiving-Off-The-Land Binaries（LOLBins）のようなバイナリを悪用したり、「PC Hunter 64」のようなCommercial Off-The-Shelf（COTS）ツールを悪用したりして、標的ネットワークに関するさらなる情報を収集しようとする。標的ネットワーク内部を監視するために、ミニダンプの作成に関与することもある。

VPNにどのように不正アクセスしているのか

　攻撃者の不正アクセス方法は主に2つある。

　1つは、パスワードスプレーアタックだ。自動化されたツールを使用して、ユーザー名とパスワードを正しい認証情報が見つかるまで何度も試し、多数のアカウントに不正にアクセスしようとする。従来のブルートフォース攻撃がユーザー1人に可能な限りのパスワードを試すのに対し、パスワードスプレーアタックでは、多数のアカウントに少数のパスワードを試す。そのため、アカウントのロックアウトや検知をすり抜けてくる。VPN構成のロギングがより強固な場合は、複数アカウントにおいてログイン試行が失敗しているログを確認できる可能性がある。

　もう1つは、ダークWeb市場を利用したクレデンシャル情報の購入だ。攻撃者はダークWebでクレデンシャル情報を違法に購入できる。過去のデータ侵害やその他の手段で入手されたクレデンシャル情報が利用可能な場合がある。このような方法で取得された認証情報は、VPNのログには痕跡が残らない可能性が高い。

Cisco ASAでロギングに関する設定を変えるには

　ロギングはシステム内で発生したイベントを記録するサイバーセキュリティに欠かせない要素だ。だが、Ciscoに共有されたAkiraの攻撃シナリオは、影響を受けた「Cisco ASA」でロギングが設定されていなかった。そのため、AkiraがどのようにVPNに不正アクセスしたのかなど、攻撃方法の明確な分析が妨げられているという。

　Cisco ASAでロギングを設定するには、CLI（コマンドラインインタフェース）にアクセスし、logging enable、logging hostおよびlogging trapコマンドを使用して、ロギング・サーバ、重大度レベルおよびその他のパラメーターを指定する必要がある。

　Ciscoはログデータをリモートのsyslogサーバに送信することも推奨している。これにより、さまざまなネットワークデバイスにわたるネットワークおよびセキュリティインシデントの相関性と監査が向上すると、Ciscoは述べている。