Microsoft クラウドへのハッキングを検出:CISA が最新ツールを提供

New CISA tool detects hacking activity in Microsoft cloud services

2023/03/23 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、Microsoft のクラウド環境における悪意のアクティビティの兆候の検出に有効な、新しいオープンソースのインシデント対応ツールを公開した。米国エネルギー省の国立研究所である Sandia と共同で開発された、この Untitled Goose Tool という名の Python ベースのユーティリティは、Azure Active Directory/Microsoft Azure/Microsoft 365 環境からテレメトリ情報をダンプする。


CISA は、「Untitled Goose Tool は、斬新な認証とデータ収集方法を追加した堅牢で柔軟な Hunt/Incident 対応ツールであり、ユーザー環境における Azure Active Directory (AzureAD)/Azure/M365 に対して完全な調査を実施する。 なお、このツールは、Microsoft Defender for Endpoint (MDE) と Defender for Internet of Things (D4IoT) から追加のテレメトリを収集する」と述べている。

CISA が提供するクロス・プラットフォーム対応の、Microsoft クラウド検査/分析ツールの助けを借りることで、セキュリティ専門家やネットワーク管理者は、以下のことを実現できる。

AAD のサインインと監査ログ、M365統一監査ログ(UAL)、Azureアクティビティログ、Microsoft Defender for IoT アラート、Microsoft Defender for Endpoint (MDE) データをエクスポートして、疑わしいアクティビティを調査する。

  • AAD/M365/Azure コンフィグレーションに対するクエリ/エクスポート/調査。
  • 追加の分析を必要としない、Microsoft の AAD/Azure/M365 環境からのクラウド・アーティファクトの抽出。
  • UAL のタイム・バウンディングの実行。
  • タイム・バウンディング内でのデータの抽出。
  • MDE データに対するタイム・バウンディング機能を介したデータの収集/レビュー。

今月の初めに CISA は、敵対者の戦術と技術をベースにして、防御者がセキュリティ体制を構築するために、MITRE ATT&CK マッピング・レポートを生成する、Decider というオープンソース・ツールを公開している。

2023年1月に、MITRE ATT&CK マッピングに関するベストプラクティス・ガイダンスが公開され、この規格を利用することの重要性が強調された後に、Decider はリリースされた。

また、2023年1月から、インターネットに露出し、ランサムウェア攻撃に対して脆弱なた、重要インフラ事業体のシステムについて警告を発している。

今日の CISA は、「このプロアクティブなサイバー防御能力を用いて、2023年1月以降において、エネルギー/医療/公衆衛生/上下水道システム分野の、60 以上の重要インフラ組織などに、初期段階のランサムウェア侵入について通知した」と明らかにした。

この動きは、ランサムウェアなどのサイバー脅威から、米国の重要インフラを保護する新しいパートナーシップ Joint Cyber Defense Collaborative (JCDC) が、2021年8月に発足したことを受けたものだ。

2021年6月にも CISA は、ランサムウェア攻撃を防止/回復する組織の準備状況を評価するための Ransomware Readiness Assessment (RRA) である、Cyber Security Evaluation Tool (CSET) の新しいモジュールを発表している。また、その2カ月後には、高いリスクと抱える民間企業や政府機関が、ランサムウェア攻撃に起因するデータ漏洩を防止するための、ガイダンスを発表している。

文中で紹介されている Decider については、2023/03/02 の「CISA の Decider というツール:観測された脅威の結果と MITRE ATT&CK をマッピング」を、ご参照ください。そこでは、「脅威アクターの行動と MITRE ATT&CK フレームワークとのマッピングを容易にする無料のツール 」だと紹介されています。最近の、CISA の動向は、以下の通りです。

2023/03/16:CISA の Secure Cloud:パブリック・コメント
2023/02/08:VMware VM への攻撃:CISA が復旧ツール
2023/01/25:警告:正規の RMM ソフトウェアを介した攻撃

%d bloggers like this: