認証サーバでアクセス制御する「SaaS」も標的 - 多段階攻撃で侵入被害

「VPN」や「認証サーバ」の認証をことごとく突破し、「SaaS」における正規利用者の認証情報を窃取した攻撃者は、「SaaS」に対して組織内のネットワークを経由せずにインターネットより直接アクセス。クラウド上に保存されたデータを取得していたと見られる。

被害組織では、クラウドサービスへのアクセス状況を監視していたため、不審な接続元として攻撃を検知した。複数のIPアドレスよりアクセスされており、これらIPアドレスには、一見攻撃であるか判断が難しいものも含まれていたという。

J-CSIPでは、不正アクセスそのものを防ぐことは難しく、不審な活動を監視して攻撃をできるだけ早期に発見し、対処することは、今後重要な対策になると説明。

「VPN」により国内外でネットワークを接続することもあるが、国内と海外拠点で同様のセキュリティ対策を実施することが難しいケースも多く、海外拠点との接続状況やリスクの把握、セキュリティ対策の見直しといった対応が課題になると指摘している。

（Security NEXT - 2021/05/21 ）ツイート