Dragos Employee Hacked, Revealing Ransomware, Extortion Scheme
2023/05/11 DarkReading — セキュリティ企業は、サイバー攻撃から身を守るために、一般的な組織よりも態勢を整えるべきだという意見があるかもしれない。先日の Dragos では、新入社員の個人的な電子メール・アカウント侵害の後に発生したソーシャル・エンジニアリング攻撃で、既知のランサムウェア・グループが脅迫を開始したが、失敗したようである。
Dragos が5月10日にブログ記事で明らかにしたのは、上記の攻撃が 5月8日に発生し、入社前の社員の個人メール・アドレスが漏洩し、SharePoint と 契約管理システムにアクセスを、脅威アクターに許してしまったことだ。その後に、この脅威アクターは、ハッキングで盗んだ個人情報を使って従業員になりすまし、Dragos の入社手続きの初期段階を完了させたという。
Dragos の迅速な対応により、この脅威アクターの目的であるランサムウェア感染は阻止され、横移動/権限昇格/永続的なアクセスの確立/ドラゴスのインフラへの変更などの、さらなる活動も排除されたようだ。同社のブログには、「Dragos Platform に関連するものを含め、Dragos のシステムは侵害されていない」と記されている。
しかし、この驚異アクターは戦術を変更した。最初の侵害とランサムウェア戦略が失敗すると、Dragos への攻撃を行ったと恐喝する方向へ転換した。この驚異アクターはは、Dragos の幹部にメッセージを送り、「金を払わないなら、この攻撃を公にする」と脅しとされる。
さらに、Dragos の従業員の家族や、個人的な連絡先に言及し、さらには、Dragos の上級従業員の個人アカウントにメールを送信して反応を窺うなど、個人的なメッセージにまで踏み込んだ不気味な揺さぶりをかけたという。
最終的に同社は、犯人と関わらないことが最善の対応と判断したことで、このインシデントは収束できたと述べている。
その一方で Dragos は、データ損失を認め、身代金支払を断ったことで、それらの情報が流出する可能性が高いと述べている。つまり、同社は、サイバー犯罪者と関わりを持たず、交渉もしないという決断を貫いたことになる。
サイバーの透明性を促進する
セキュリティ企業が、自社で経験した攻撃について公表することは稀である。Dragos は、セキュリティ侵害が大きな被害をもたらす前に、事態を収束させる方法として、公表することにしたと述べている。さらに同社はh、「セキュリティ・イベントの汚名返上にも貢献したい」とブログで述べている。
どのような企業であっても、たとえ強固にロックダウンされている企業であっても、攻撃を必ず阻止できるわけではない。あるセキュリティ専門家によると、最近のセキュリティ・インシデントにより、そのような傾向が何度も証明されているという。特に、いまのソーシャル・エンジニアリングの手口の巧妙さと洗練度を考えると、その傾向がさらに強まっているように思える。
セキュリティ企業である KnowBe4 の Data-Driven Defense Evangelist である Roger Grimes は、「Dragos の話は、巧妙なソーシャル・エンジニアリングの試みと、被害を最小限に抑えるための迅速な対応を示す、きわめて貴重な事例である」と、電子メール・コメントで述べている。
彼は、「このインシデントは、雇用の場で多発している、きわめて活発なソーシャル・エンジニアリング詐欺に対する認識を促すはずだ。現実に、すべての企業は、今回ほど幸運ではなく、うまく自衛できているわけではない。雇用主から情報を盗み、詐欺を働くためだけに存在する、偽の従業員もいるようだ。また、実際には仕事を知らず、解雇されるまで給料を受け取るだけの偽の従業員もいる。その反対に、正規の求職者が、求職中に詐欺に遭ったという事例も数多くある」と述べている。
サイバー攻撃時には内部分析が鍵になる
いまも、このインシデントに関する調査が行われている。Dragos の取った、迅速な対応と、重層的なセキュリティ・アプローチにより、深刻な攻撃を防ぐことができた。このインシデントは、他の企業にとっても青写真となるはずだ。
Dragos は、SIEM (Security Information and Event Management) のアラートを調査し、侵害されたアカウントをブロックした。また、サービス・プロバイダーによるインシデント対応を用いて、また、MDR (Monitoring, Detection and Response) プロバイダーの協力により、インシデント対応の取り組みを強化した。同社は、「システムのアクティビティ・ログが詳細に記録されていたことで、このセキュリティ・インシデントを迅速に処理し、収束させることができた」と述べている。
同社は、同様の攻撃が繰り返されないようにするために、新入社員のオンボーディング・プロセスを強固なものにする、検証ステップを追加したと発表している。さらに、多段階のアクセス承認により、不正なアクセスの試みが阻止されたことを受けて、この戦略を、他のシステムにも拡大する方針だという。
サイバー・レジリエンスに関するアドバイス
Dragos が提供したアドバイザリには、同様の攻撃シナリオを回避するための情報も含まれている。ID とアクセス管理のインフラ/プロセスの強化は、サイバー・レジリエンスを求める全ての組織にとって基本的な要であると、同社はアドバイスしている。また、企業全体で職務分掌を導入し、環境全体の管理が一人の人間に集中しないようにすることも、良いアイデアだと述べている。
また、すべてのシステムやサービスに対して、最小特権の原則を適用し、可能な限り多要素認証を導入する必要があると、同社は述べている。
また、今回の Dragos のように、従業員に対する侵害を阻止するためには、既知の悪質な IP アドレスを明示的にブロックし、電子メールのアドレス/URL/スペルといった、フィッシングの典型的な要因となるものを精査する必要がある。
さらに、組織全体として、継続的なセキュリティ監視を確実に実施し、万が一攻撃が発生した場合に備えて、テスト済みのインシデント対応手順書を準備しておく必要があると、Dragos は述べている。
Dragos ですが、さまざまな企業が参考にすべき、とても適切な対応をとったことを紹介する記事ですね。このブログの中を参照したら、以下のような記事に登場していました。それぞれのタイトルを見ると、OT 関連のセキュリティを担う企業なのかと思います。また、Emerson との提携を紹介する記事もありました。
2023/01/21:製造業の 76% に未パッチの深刻な脆弱性
2022/08/11:BazarCall によるフィッシング手口を分析する
2022/07/18:PLC/HMI パスワード・クラッキング
IoT OT Security News 
You must be logged in to post a comment.