米国の携帯電話会社2社に対する攻撃を分析した結果、セキュリティチームが攻撃の途中で行った対抗緩和策を元に戻すような攻撃者の対抗措置の脅威が特定されました。
サイバー攻撃では、攻撃者の唯一の手は「攻撃」だと考えられがちです。ここで一般的には、攻撃者は、皆さんが攻撃者の侵入に気づき、これに対抗するために、侵入を食い止める対抗緩和策を取り、ラテラルムーブメント(横方向への移動)、ユーザーアカウントの変更などを開始すると、攻撃をあきらめ、あなたの勝利になるとと考えられる、または考えたいものです。 しかし、セキュリティベンダーのCrowdstrike社が行った新たな分析によると、あなたのチームが懸命に行った攻撃者への対抗措置に対して、攻撃者もあなたの対抗措置を元に戻して、侵入、特権取得、アクセスの手段を追加設定していることが明らかにされました。つまり、攻撃者が簡単にあきらめずに、あなたの対抗措置に対して対抗措置を取ってきているのです。
この同社の分析では、侵入を食い止める対応措置が迅速に取られないと、攻撃者は以下の活動を仕掛けてきていることを確認しました。
- VPNアクセスの追加設定
- 複数のRMMツールのセットアップ
- セキュリティチームにより無効化されたアカウントの再有効化
これは、チェスと同じで、自分が一手を打てば、敵もまた一手を打ってくるのです。
この分析結果からは、2つの教訓が得られます。
- 攻撃者のアクセスを迅速かつ効果的に遮断する必要がある。
- 攻撃のきっかけとなる最初の攻撃手口(主に認証情報の取得を目的としたソーシャルエンジニアリング攻撃)への人的防御対策が必要である。電子メール、電話、インターネットのいずれを使用する場合でも、ユーザーを警戒させるために、すべてのユーザーを対象としたセキュリティ教育が必要とされています。これには、すべての従業員に対して継続的なセキュリティ意識向上トレーニングを提供することで、ヒューマンファイアウォールを形成し、最初のソーシャルエンジニアリング攻撃を食い止めることが求められています。
原典:Stu Sjouwerman著 2022年12月8日発信https://blog.knowbe4.com/incident-response-actions-are-systematically-reverse-by-hackers-to-maintain-persistence
