CISAのレッドチーム演習の報告書：演習では侵入にフィッシングが重大な役割を果たす

フィッシングは、他の攻撃方法が失敗した後で、被害者の環境を完全に侵害するために使用されます。

7月11日、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、「CISA Red Team's Operations Against a Federal Civilian Executive Branch Organization Highlights the Necessity of Defense-in-Depth（連邦民間政府機関に対するCISAレッドチームの作戦で明らかになった多層防御の重要性）」と題する報告書を発表しました。

この報告書では、CISAのレッドチーム（すなわち、認定のホワイトハッカー）が、国家やその他のサイバー攻撃者が一般的に使用する戦術を模倣して、政府機関に対して長期的な攻撃シミュレーションを行ったことが明らかにされています。この報告書は読み応えがあり、サイバー攻撃者を組織の環境から排除したいと考えているあらゆる組織にとって、優れた教訓や推奨事項が多く記載されています。

この報告書では、レッドチームが、パッチの適用されていない脆弱性を悪用して、「被害を受けた組織」が保護していたSolaris環境に最初にアクセスした方法が紹介されています。このような初期アクセスの方法は珍しくありません。パッチが適用されていないソフトウェアやファームウェアは、成功した攻撃の33%に関連しています。最悪なのは、パッチが適用されていない脆弱性について組織に直接報告したにも関わらず、この組織は2週間もパッチを適用せず、レッドチームが組織の環境にアクセスしたことに気づかなかったことです。この攻撃を受けた組織は環境を適切に監視しておらず、レスポンスするためのアラートも受け取っていませんでした。

しかし、レッドチームは、特権アカウントを乗っ取り、Solaris環境をほぼ完全に掌握しましたが、侵害したSolaris環境から、この組織が広範に使用している重要なMicrosoft Windows環境に侵入できませんでした。

最終的に、攻撃者はメールによるスピアフィッシング攻撃に頼り、成功させました。攻撃者はまず、オープンソースインテリジェンス（OSInt）を使って情報を収集し、さまざまな従業員の名前、メールアドレス、役職を特定しました。そして、その情報をもとに新しいフィッシングメールを作成し、さまざまな従業員に送信しました。

ある従業員がスピアフィッシングメールを開き、リンクをクリックしたため、無意識のうちにリモートアクセスバックドアを仕込むトロイの木馬がメモリにインストールされました。レッドチームは、環境を調査し、使用されているマルウェア対策ソフトウェアを特定し、監視対象から除外されているディレクトリも突き止めることができました。そして、その同じディレクトリを使用して、さらに高度なハッキングツールをインストールしました。

レッドチームはいくつかの脆弱なサービスアカウントを特定し、現在の環境のWindowsドメインを侵害しました。その後、接続されていた他のWindowsドメインも侵害しました。レッドチームは、Microsoft Systems Center Configurations Manager（SCCM）サーバーを侵害しました。SCCMサーバーには、ログインしている（しかしアクティブではない）管理者レベルのアカウントがいくつかありました。このサーバーから、管理タスクを実行するために使用されていたこの組織の管理用「ジャンプサーバー」に移動できました。

最終的に、レッドチームは数か月にわたって検知されることなく攻撃を継続し、管理者アカウントの侵害、パスワードの侵害、マルウェア対策・検知ツールの回避、GB単位のデータの流出を、検知されずに行うことができました。

これらのアクセスはすべてOSIntとフィッシングを利用して達成されています。これは驚くべきことではありません。サイバー犯罪の70～90%に、ソーシャルエンジニアリングとフィッシングが関与しています。OSIntが利用されることが多いスピアフィッシングは、全ての侵害の66%に関与しています。

つまり、成功した攻撃の3分の2は、1つの攻撃手法によるものなのです。

そして、認証情報が詐取されたケースの79%でフィッシングが使用されています。つまり、このレッドチームが使用した方法は実際の攻撃に基づいており、どれも驚くべきものではありません。

残念ながら、多くの組織のITやITセキュリティ予算のうち、人が関連するリスクへの対策に充てられている割合は5％未満です。この状況は変えなければなりません。

残念なことに、このレッドチーム演習に関するCISAの報告書でも、他の攻撃方法が失敗した後で、環境を完全に侵害するためにフィッシングが使用された方法を詳しく説明しているにも関わらず、より強力なセキュリティ意識向上トレーニングを推奨していません。

注：CISAの報告書は、多くのソーシャルエンジニアリング攻撃を防ぐのに有効な（フィッシングに耐性のある）多要素認証（MFA）さえも推奨していません。

悲しいことですが、これは珍しいことではありません。攻撃を成功させた手法のトップとしてフィッシングが挙げられている同じ報告書でも、リスクを軽減するためにエンドユーザーへの教育を強化することが提案されていません。教育の強化が一貫して推奨されていないことが、ソーシャルエンジニアリングやフィッシングが何十年もの間、ハッカー（およびレッドチーム）によって利用され続け攻撃を成功させてきた主な理由の1つです。フィッシングは侵入するために悪用され続けており、防御側はそれに対して十分な対策を行っていません。

この良くないサイクルを断ち切るには、ユーザーに最高クラスのセキュリティ意識向上トレーニングを提供し、模擬フィッシングテストを受けさせることです。どちらも、少なくとも月に1回、できればもっと頻繁に実施する必要があります。フィッシングのトレーニングやシミュレーションの頻度が高ければ高いほど、人に関連するリスクが低減されることを示すデータがあります。

フィッシングは、攻撃者が環境に侵入するために最も悪用されている方法です。自社の防御がこの現実を反映していることを確認してください。

原典：Roger Grimes著 2024年7月19日発信 https://blog.knowbe4.com/cisas-red-team-exercise-shows-value-phishing-but-misses-best-recommendation