クラウド利用増加で標的型攻撃が進化 - 「初期アクセス」獲得阻止が重要に

攻撃者が「初期アクセス」を獲得するための具体的な手法を見ると、安易なパスワードが設定されているユーザーやサービスのアカウントが標的となっている。

特に普段利用されていないサービス用の休眠アカウントなども狙われている。サービス用のアカウントは人が介在していないことから、多要素認証が利用されていない一方、高い権限が設定されている場合もあり、初期アクセスを奪われるとさらなる攻撃の踏み台に悪用されるおそれがある。

一方、標的とした個人アカウントが「多要素認証」を設定していた場合は、「多要素認証爆撃攻撃」を展開。アクセスの許可を求めるリクエストを執拗に送信することで、「多要素認証疲れ」を引き起こし、うっかり許可することを狙っていた。

インシデント判明後にパスワードの強制リセットを行った場合も、攻撃者がリセットの指示に従い、再度アカウントへのアクセスを回復するケースもあったという。

またブロードバンド回線を引いている一般家庭のネットワークが攻撃の踏み台となっている点にも注意が必要。住宅向け回線を経由させることで本来のIPアドレスを隠蔽し、ISPのIPアドレスに偽装している点にも、攻撃の検知などにあたって考慮する必要があると指摘している。

米CISAでは、今回セキュリティアドバイザリで説明した軽減策のほか、クラウドにおける情報資産を保護するため、「Secure Cloud Business Applications（SCuBA）プロジェクト」によるガイダンスやツールなども提供しており、活用を呼びかけている。

（Security NEXT - 2024/02/27 ）ツイート