NSA/CISA が概説:ミスコンフィグレーション Top-10 ついて特定していこう

NSA and CISA reveal top 10 cybersecurity misconfigurations

2023/10/05 BleepingComputer — 今日、米国の National Security Agency (NSA) と Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、大規模組織のネットワークでレッドチームとブルーチームが発見した、サイバーセキュリテで再重視すべきミスコンフィグレーションの Top-10 である。また、このアドバイザリでは、脅威アクターたちが用いる TTP (Tactics, Techniques, and Procedures) と、ミスコンフィグレーションの悪用方法に加えて、アクセス権の獲得/横方向への移動/機密情報やシステムの標的化といった、各種の目的を達成する方法についても詳しく説明されている。


このアドバイザリに含まれる情報は、両機関のレッドチームとブルーチームが、評価およびインシデントへの対応の中で収集したものである。

NSA は、「これらのチームは、国防総省 (DoD)/連邦民間行政機関 (FCEB)/州政府/地方政府/部族政府/準州政府 (SLTT)/民間企業などにおける、多種多様なネットワークのセキュリティ態勢を評価してきた」と述べている。

CISA の Executive Assistant Director for Cybersecurity である Eric Goldstein は、「それらを評価したことで、ソフトウェアやアプリケーションのデフォルトの認証情報や、サービス権限/設定などの一般的なミスコンフィグレーションに加えて、ユーザー権限とアドミン権限の不適切な分離や、不十分な内部ネットワーク監視、不十分なパッチ管理などにより、多くの組織が危殆化していることが明らかになった」と述べている。

レッドチームとブルーチームの評価により、また、 NSA/CISA のハント・インシデント対応チームにより指摘された、最も一般的なネットワーク・コンフィグレーションの Top-10 は以下のとおりである:

  1. ソフトウェアとアプリケーションのデフォルト設定
  2. ユーザー/アドミン権限の不適切な分離
  3. 不十分な内部ネットワーク監視
  4. ネットワーク・セグメンテーションの欠如
  5. パッチ管理の不備
  6. システム・アクセス制御のバイパス
  7. 多要素認証 (MFA) の脆弱性やミスコンフィグレーション
  8. ネットワーク共有やサービスにおける ACL (Access Control List) の不備
  9. クレデンシャルに関する不十分な衛生管理
  10. 無制限のコード実行

この共同アドバイザリに記載されているように、これらの一般的なミスコンフィグレーションが示すのは、多数の大組織におけるネットワーク内のシステム的な脆弱性である。つまり、ソフトウェア・メーカーにより Secure-by-Design の原則が採用され、侵害リスクが軽減されることの重要性が強調される。

Rob Joyce — top 10 cybersecurity misconfigurations


Eric Goldstein は、「このようなミスコンフィグレーションに効果的に対処し、ネットワーク防御者が直面する課題を軽減するために、ソフトウェア・メーカーは一連のプロアクティブ・プラクティスを採用すべきだ」と促している。

そのためには、セキュリティ制御を、開発の初期段階から製品アーキテクチャに組み込み、ソフトウェア開発ライフサイクル全体を通じて維持することも含まれる。

さらに、メーカーはデフォルト・パスワードの使用を止め、1つのセキュリティ・コントロールが侵害されても、システム全体の完全性が保護されるようにすべきだ。メモリセーフ・コーディング言語の利用や、パラメータ化されたクエリの実装などの、積極的な対策を講じることで、各種の脆弱性を全体的に排除していく必要がある。

Eric Goldstein は、「特権ユーザーには多要素認証 (MFA) を義務付け、MFA をデフォルト機能として確立し、オプションではなく標準的なプラクティスにすることが不可欠だ」と付け加えている。

さらに NSA と CISA は、これらの一般的なミスコンフィグレーションが、攻撃者に悪用されるリスクを低減するために、いくつかの緩和策を実施するよう、ネットワーク防御者に奨励している。

このような効果をもたらす緩和策には、以下が含まれる:

  • デフォルトの認証情報を削除し、コンフィグレーションを強化する。
  • 使用していないサービスを停止し、厳格なアクセス制御を実施する。
  • 定期的な更新とパッチ適用プロセスの自動化を確実なものとし、既知の悪用された脆弱性に対して優先的にパッチを適用する。
  • 管理者のアカウントと権限に関して、削減/制限/監査/監視を厳重化する。

NSA と CISA は、「ここで概説した緩和策の適用に加えて、MITRE ATT&CK for Enterprise フレームワークにマッピングされる脅威の振る舞いに対して、組織のセキュリティ・プログラムを演習/試験/検証すべきである。このアドバイザリに記載されている ATT&CK テクニックに対して、既存のセキュリティ管理目録をテストし、パフォーマンスを評価することも推奨される」と述べている。

ミスコンフィグレーションは、特にクラウドのミスコンフィグレーションは、さまざまな侵害の原因となっています。このブログ内を Config で検索すると、数件の記事が引っかかります。ほんとうは、もっと沢山の記事が見つかるはずですが、これまでのポストでは config というタグを埋め込むことに、注意が足りなかったようです。今日の記事を機会として、今後はタグから検索できるようにしていきます。 とても重要な問題です。