Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

認証サーバでアクセス制御する「SaaS」も標的 - 多段階攻撃で侵入被害

組織内部の認証サーバを用いてアクセス制御を行うクラウド環境なども、多段階に及ぶ巧妙な攻撃の標的となっている。侵入されることを前提とした対策の重要性が増している。

サイバー情報共有イニシアティブ(J-CSIP)が、参加組織より情報提供を受けたサイバー攻撃の手口について明らかにしたもの。

被害者組織で利用する外部の「SaaS」は、アクセスするために組織内部の認証サーバであらかじめ認証情報を取得しなければアクセスできない環境だったが、事前の多段階による攻撃により、アクセスに必要となる正規の認証情報が窃取されていたという。

攻撃の起点となったのは、海外拠点で利用する「VPN」。攻撃者は、何らかの方法で海外拠点で利用する「VPN」の認証情報を事前に入手しており、「VPN」経由で海外拠点のネットワークへ侵入していた。

さらに同ネットワーク経由で国内組織の内部ネットワークにある認証サーバへアクセス。同サーバにおける認証も、何らかの方法で入手した正規利用者の認証情報を用いて認証を突破し、クラウドサービスへアクセスするために必要となる認証情報を取得していた。

20210521_jc_001.jpg
攻撃の流れ(図:IPA)

(Security NEXT - 2021/05/21 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米連邦政府機関に「SolarWinds Orion」製品の遮断命令
VMware複数製品の脆弱性、ロシア攻撃グループが悪用か - 米政府主張
パスワードリスト攻撃の事前スクリーニング、大胆なその手口
日本年金機構の個人情報漏洩に便乗する「個人情報削除詐欺」へ警戒を
ネットバンク利用者狙う「WERDLOD」 - 感染後常駐しない「設定変更型」
年間30万台以上のルータが被害 - 不正DNSへの誘導を確認できる無償ツール
日本HPとDTRS、セキュリティ戦略立案からSOC構築まで対応するサービス
「osCommerce」狙う改ざん、複数の国内ショッピングサイトで被害 - セキュアブレインが確認
国内サイトの改ざんは400件以上、「go.jp」にも - セキュアブレイン調査
SQLインジェクションワームが「Flash Player」の脆弱性を悪用