ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?

Brute-Force Attacks, Vulnerability Exploits Top Initial Attack Vectors

2021/09/14 DarkReading — 物事が変われば変わるほど、同じことが繰り返されているように見える。少なくとも、一部の企業のサイバー・セキュリティ対策に関しては、それが言える。2020年に Kaspersky が対応した、セキュリティ・インシデントのデータを分析したところ、原因の 63% がパッチやパスワード管理の不備によるものだった。

新たに発見された脆弱性は注目を集め、その悪用などが懸念される傾向にあるが、Kaspersky が昨年も調査したインシデントのうち、2020年に発見された脆弱性が関係しているものは、比較的少ないことが分かった。それ以外のケースでは、ほとんどの攻撃者が古い脆弱性を悪用しており、その中には 2017年に発見されたものも含まれていた。これらの脆弱性は、ずっと前に、パッチを当てるべきものである。

Kaspersky の Head of Security Services である Gleb Gritsai は、「攻撃者の行動原理は企業と同じである。攻撃者はコストに注意を払い、最もコスト効率の良い攻撃は、簡単にアクセスできるセキュリティ問題を、ターゲットにするものだと知っている。多くの被害者は、セキュリティ・パッチの不備や不正なパスワードなどの問題や、適切に調査されなかった不審な行動に気づいていた。高価で豪華なセキュリティ・ソリューションや、インシデントを防止/検出するための複雑なセキュリティ管理が必要だったのだろうか?そうではなく、攻撃対象を最小限に抑えるための、基本的なセキュリティ対策が必要だったのだ」と述べている。

Kaspersky の分析によると、企業における全インシデントのうち、ブルートフォース攻撃は 2019年 13%から、2020年の 31.6% へと急増している。ブルートフォース攻撃とは、自動化された試行錯誤の手法を用いてパスワードを解読するものだ。したがって、強力なパスワードには無力だが (膨大な時間を要する) が、脆弱なパスワードやよく推測可能なパスワードを解読するために、何年も前から攻撃者は、この手法をうまく使ってきた。

Kaspersky は、ブルートフォース攻撃急増の背景として、世界的な COVID-19 の流行が始まってから、職場環境が分散されたハイブリッドへと移行にしたことがあると説明している。Gritsai は、「リモートワークの増加により、一般に公開されているシステムのセキュリティ管理が緩くなり、組織は業務遂行のためにセキュリティを脇に追いやるようになった。それにより、攻撃者はパスワードベースの認証で保護されたシステムを、ブルートフォース攻撃で狙うことができるようになった」と述べている。

さらに彼は、「少なくとも、理論的には、ブルートフォース攻撃は簡単に検出できると考えられている。すべてのセキュリティ・ソリューションには、ブルートフォース攻撃に対する基本的な検知ルールが搭載されており、コンソールで重要なアラートを発見するのは簡単なはずだ」と指摘している。しかし、インフラにおけるアクティビティの可視化の問題や、セキュリティ警告を監視するスタッフ不足などにより、ブルートフォース攻撃は、その影響が出るまで、ほとんど検知されないことがよくある。

2020年に2番目に多かった初期攻撃の手段は、パッチが適用されていない脆弱性を持つシステムへのエクスプロイトとなった。Kaspersky の調査によると、調査したインシデントの 31.5% が脆弱性の悪用を伴うものだった。最も悪用された脆弱性は古いものであり、中でも NSA が流出させた EternalBlue エクスプロイトに関連する、Windows SMB リモートコード実行 (RCE) の脆弱性 CVE-2017-0144 が挙げられる。この脆弱性とエクスプロイトは、2017年5月に世界的に発生したランサムウェア攻撃 WannaCry などの、数多くの攻撃で悪用されている。直近では Guardicore が、この脆弱性の悪用により、アジア太平洋地域や北米の組織のシステムで、Indexsinas という SMB ワームを拡散させたと報告している。

Kaspersky が観測した、攻撃者が頻繁に悪用する古い脆弱性には、CVE-2018-8453 と CVE-2019-11510 がある。前者は、Microsoft が 2018年10月にパッチを適用した特権昇格バグであり、ランサムウェア Sodinokibi ファミリーが関与するキャンペーンなどで悪用されている。一方、CVE-2019-1150 は、Pulse Connect Secure VPN デバイスのリモート実行が可能な脆弱性であり、多様なランサムウェア攻撃で広く悪用されており、2021年4月には DHS (Department of Homeland Security) 勧告の対象となった。その他の、悪用された脆弱性の中には、Microsoft Server Message Block 3.1.1 で 2020年に発生した CVE-2020-0796 も含まれており、組織に与えるリスクの大きさから、これも DHS 勧告の対象となった。

Gritsai は、「悪用された最も一般的な脆弱性は、CVE-2019-11510 と CVE-2020-0796 だった。Active Directory ドメインに統合された、特権的アクセスにつながる安エクスプロイトを持ち、一般に公開されているソフトウェアは、攻撃者にとって魅力的なターゲットだ。なぜなら、このような欠陥を侵害すると、攻撃者は企業ネットワークに、ワンステップでアクセスできるようになるからだ」と述べている。

Kaspersky の分析結果によると、適切なパッチ管理ポリシーを導入するだけで、企業はセキュリティ・インシデントのリスクを 30% も削減し、強固なパスワード・ポリシーを持つことで最大で 60% も削減できるという。

なんというか、いまどきブルートフォースですか? という感じですが、このブログを調べてみたら何件かあったので BruteForce カテゴリを作りました。こんな攻撃手法が、無くなったとまでは言えなくとも、このところ流行っているというのには驚きです。これほど、検知しやすい異常な行動を、放置しているサービスが多々あるということなのでしょう。逆の ID 総当たりである、リバース・ブルートフォースも含めて、この種の情報を見逃さないようにします。

%d bloggers like this: