2025年が始まるとすぐに、アイデンティティセキュリティの重要性を再確認させられる出来事がありました。 米財務省 は、"中国政府支援の"脅威アクターがBeyondTrustのシステムに存在する脆弱性(CVE-2024-12356 また、 CVE-2024-12686を悪用して、同省のシステムにアクセスしたことを議会に通知しました。
今回 CISA は、財務省がこの侵害によって影響を受けた唯一の連邦機関であると報告していますが、この問題はまだ進行中です。 Censysの報告によると、影響を受けたサービスの13,000件以上のインスタンスが現在もインターネットに接続されており、脆弱である可能性があります。財務省からの初期の開示以降、CISAはCVE-2024-12686を 「既知の悪用された脆弱性」カタログに追加しており、これにより連邦機関は「この脆弱性を標的にした進行中の攻撃からネットワークを保護する」ことが求められています。
「後知恵で批判することは決して建設的ではありません。特に、今回のように財務省の情報漏洩に関する詳細がまだ明らかになっている途中の状況ではなおさらです。代わりに、私たちはこの財務省の情報漏洩に関する事実を見直し、それらの事実が今後の組織のサイバーセキュリティプログラムにとって何を意味するのかを説明することが重要だと考えています。」translated
BeyondTrustは漏洩に関する レポート の中で、「リモートサポートSaaSに関する問題の根本原因分析により、リモートサポートSaaSのAPIキーが漏洩していたことが判明した」と述べています。この報告書によると、漏洩したリモートサポートSaaSのAPIキーにより、「ローカルアプリケーションアカウントのパスワードリセットが可能になっていた」とのことです。
BeyondTrustは、APIキーを直ちに無効化し、おそらくパスワードリセットを実行するという適切な対応を取りました。しかし、APIのセキュリティ確保は、はるかに広範なアプローチの一部でなければなりません。組織は認証だけでなく、資格情報のライフサイクル全体を保護する必要があります。それは、人間とマシンのアカウントのプロビジョニング、登録、リセットを含む、より大きな課題を意味します。
また、ユーザが認証する 対象 が依然として適切であることを確認する必要があります。私は、明確に定められた目的のために必要なリソースにのみアクセスできるべきです。不要なアクセス、つまり必要ないのに持っているアクセスは、リスクを助長するだけです。
組織は、この考え方をAPIにも拡張する必要があります。これまで、人間のユーザやデバイスがセキュリティの主な焦点となりがちでしたが、サービスアカウントやAPIは見過ごされる傾向にありました。組織は、それらのサービスが何にアクセスできるのか、またそのアクセスを使用して何ができるのかを把握する必要があります。さらに、各テナントごとにAPIを個別に生成し、管理する必要があります。重複したAPIキーを持つことは、パスワードを共有するのと同じくらいリスクが高く、危険な行為です。translated
財務省は、議会への書簡の中で、「脅威の行為者が、財務省部門事務所(DO)のエンドユーザに対してリモートで技術サポートを提供するために使用されているクラウドベースのサービスを保護するためにベンダーが使用するキーにアクセスした」と述べました。
これはこの場合において正確に何を意味するのかを解析するのは難しいですが、その中には2023年の MGMリゾーツ また、 シーザーズ・エンターテイメント・グループ に数億ドルの損害を与えた攻撃を思い起こさせる要素があります。
ラスベガスのランサムウェア攻撃と最近の財務省の侵害の両方で、攻撃者は組織のサポートデスクとAPIのいくつかの組み合わせを利用しました。主な違いは、ラスベガスの攻撃の場合、攻撃者がソーシャルエンジニアリングを使ってITヘルプデスクを騙し、パスワードのリセットを行わせた点です。
組織は自分たちのヘルプデスクが引き起こす可能性のあるリスクを理解する必要があります。歴史的に、脅威の行為者はITヘルプデスクを装ってターゲットをソーシャルエンジニアリングしてきましたが、その戦術が財務省の攻撃でも使われているようです。
これらのオフィスは大きな圧力の下にあり、広範な裁量権を持っており、そのプロセスや行動が完全に文書化されていない可能性があります。translated
ヘルプデスクの担当者は、パスワードのリセット、MFAの解除、または新しいアカウントの作成を行うことができる場合があります。さらに、ヘルプデスクは、事案を十分に検討したり、行動を文書化する前に行動を強いられることがあります。
これに対抗するためには、リーダーシップがセキュリティが最優先であることを明確に伝え、組織は変更管理プロセスを文書化し使用しなければならないこと、そして高リスクのケースでは、支援を求めている人物が主張する通りの人物であることを確認するために、帯域外のコミュニケーションが必要であるべきです。 オンデマンドウェビナー をご覧いただき、組織がどのようにヘルプデスクをフィッシング攻撃から守る手助けができるかをご確認ください。translated
BeyondTrustのデータ漏洩に関与するすべての要因を知るにはまだ早すぎます。現在わかっているのは、同社が公表した2つの脆弱性だけです。それ以外のこと—例えば、 Bleeping Computerによると、「これらの脆弱性がZero DayとしてBeyondTrustのシステムにアクセスするために利用されたのか、または顧客に到達するための攻撃チェーンの一部として利用されたのか」、サポートデスクが偽装されたかどうか、APIのセキュリティがどうなっているかなど—はすべて推測に過ぎません。研究者たちは、時間が経つにつれて他の要因を明らかにするかもしれません。
それがポイントです。どの組織の技術スタックにも、壊れたり、見落とされたり、セキュリティが不十分だったり、誤用されたりする多くの段階やコンポーネントがあります。組織はそれぞれを個別にセキュアにするよう努力すべきですが、同時により 広範なゼロトラストフレームワークを導入すべきです。.
アクセスを過剰に付与しないようにし、「デフォルトでセキュア」および「設計でセキュア」を優先し、ユーザに対する教育を行い、ユーザ、システム、データに対する暗黙の信頼を排除してください。全体的なビジネスプロセスと技術スタックを一緒に見て弱点を洗い出し、完璧を求めるあまり良いものを犠牲にしないようにしましょう。セキュリティ姿勢の改善や環境からの暗黙の信頼の排除は、侵害の予防や最小化に大いに役立ちます。translated
