マイクロソフトがパスワードスプレー攻撃に対して改めて注意喚起を出しています。
www.zdnet.com
マイクロソフトは、組織が不正なパスワードを回避するためにマイクロソフトの「パスワード保護」を使用しない限り、アカウントの侵害の3分の1以上がパスワードスプレー攻撃であると推定しています。
(中略)
MicrosoftのDetectionand Response Team(DART)は、 2つの主要なパスワードスプレー手法の概要を説明しました。最初の手法は「低速および低速」と呼ばれます。ここでは、断固とした攻撃者が、「いくつかの個別のIPアドレスを使用して、限られた数の厳選されたパスワード推測で同時に複数のアカウントを攻撃する」高度なパスワードスプレーを展開します。
もう1つの手法である「可用性と再利用」は、ダークウェブに投稿および販売されている以前に侵害された資格情報を悪用します。「攻撃者は、「資格情報の詰め込み」とも呼ばれるこの戦術を利用して、サイト間でパスワードとユーザー名を再利用する人々に依存しているため、簡単にエントリを取得できます」とMicrosoftは説明します。
・Protect your business from password sprays with Microsoft DART recommendations , 2021/10/26
キタきつねの所感
マイクロソフトのDetectionand Response Team(DART)によると国家が支援する様なハッカーやサイバー攻撃者によるパスワードスプレー攻撃が増加しているとアラートを出しています。
調べてみると去年も(丁度一年前に)マイクロソフトは、パスワードスプレー攻撃に関する注意喚起記事を出しています。
ここで改めてDARTがパスワードスプレー攻撃の記事を出してきた事が、マイクロソフト≒DARTとして、(AzureやO365等に対する)スプレー攻撃が増えてきている事を”検知している”という事なのだと思います。
思い返すと遥か昔の事の様に感じますが、SolarWindsへの攻撃があったのは去年12月であって、まだ1年も経っていませんが、ソフトウェア更新を狙ったサプライチェーン攻撃が大きな事件の要因ではありますが、それ以外にも複数の脆弱性が狙われ、その中には初期アクセスを得る為の”パスワードスプレー攻撃”もあったと言われています。
※容易に推測できる「solarwinds123」的なPWだったという記事もありましたが・・
※参考:パスワードスプレー攻撃
japan.zdnet.com
IDベース(ID/PWによる)の攻撃が増えている理由について、DARTは以下の様に解説しています。
IDベースの攻撃が突然人気なのはなぜですか?
以前は、脅威アクターは、環境にアクセスするためにコンピューターを攻撃することに重点を置いていました。ソフトウェアが異常なプログラムや脆弱性を検出するのにインテリジェントになるにつれて、お客様に対する攻撃は、ネットワークに侵入するのではなく、IDに侵入することに急速に焦点を当てるようになっています。
ユーザーアカウントを保護するためのアプローチは意図的なものですが、多くの場合不完全であり、複雑なパスワードポリシーや、安全と見なされるネットワークからのリソースへのアクセスの制限などの分野に多額の投資が行われます。これらの緩和策は必要なベストプラクティスですが、信頼できるユーザーが危険にさらされている場合、不正アクセスの防止には効果がありません。
これが、ID攻撃が非常に人気になった理由です。攻撃者はアカウントの資格情報を取得すると、ユーザーがアクセスできる機密リソースにアクセスして、悪意のあるアクティビティを通常どおりに表示することができます。これにより、繰り返しサイクルの攻撃パターンが作成されます。このパターンでは、侵害された1つのアカウントがリソースへのアクセスにつながり、追加の資格情報を取得できるため、さらにリソースにアクセスできるようになります。
少し分かりにくい表現ですが、ID/PWで内部に入り込んでしまうと、次の攻撃(ラテラルムーブメント)に有利であるという事の様です。
こうしたパスワードスプレー攻撃への対策として、マイクロソフトの環境であれば、Microsoft Cloud App Securityポータルから、アラート機能を使って疑わしきユーザーをフィルタリングする事が推奨されています。
その他の推奨対策としては、多要素認証(MFA)がまず挙げられています。2番目がFIDO等の「パスワードレス」への移行が挙げられており、それが難しい場合はパスワードを長くする(複雑化)等の対策が推奨されています。
管理者であれば、メールボックス監査や、管理者アカウント保護の強化などもマイクロソフトの推奨などを参考に再検討するのも良いかと思います。
・MFAとレガシー認証:おそらく以前にこの推奨事項を聞いたことがあるでしょう。レガシー認証を無効にし、すべてのユーザーに対してMFAを有効にすることは、IDインフラストラクチャを保護する重要なステップであり、まだ実行されていない場合は優先する必要があります。
・パスワードポリシーの再考:人々がアプリケーション間でパスワードを再利用したり、簡単に見つけられるパスワードを作成したりすることはあまりにも一般的であるため、未来はパスワードのない世界です。、、パスワードなしの認証などの方法MicrosoftAuthenticatorアプリWindowsHello for Business Fast Identity Online(FIDO)キー認証イベントのユーザーエクスペリエンスとセキュリティレベルの両方を向上させるのに役立ちます。パスワードを使用する必要がある場合は、パスワードポリシーで、組織に関連するキーフレーズや一般的に使用されるパスワードが許可されていないことを確認してください。大文字、小文字、数字、記号を含む8文字のパスワードポリシーを持つことは、今日のグラフィックスプロセッシングユニット(GPU)機能では安全ではなくなりました。攻撃者は、これらの要素を使用して数時間でパスワードを解読できます。20文字の小さな文は、ユーザーが覚えやすく、複雑な8文字のパスワードよりも安全です。
・MFA登録:認証の成功につながるパスワードスプレーから保護するための最も効果的な方法は、MFAを使用することです。ただし、ユーザーがMFAを有効にしているが、登録プロセスを完了しない場合、ユーザーは保護されないままになります。さらに悪いことに、脅威アクターがサインインしてMFAの入力を求められた場合、脅威アクターは独自のMFA詳細を登録できます。MFAが満たされている場合、認証イベントの疑いがはるかに少ないため、これは脅威アクターにとって優れたカバーです。DARTは、ロケーションベースのMFAポリシー(企業ネットワークの外部にある場合にのみMFAを適用するなど)の使用を推奨していません。これにより、この種の抜け穴の余地が残されます。さらに、DARTは、MFA登録ポリシー有効なすべてのユーザーができるように、可能であれば構成することをお勧めします。
・メールボックス監査:使用このスクリプト推奨、メールボックス監査アクションは、組織内のすべてのメールボックスに構成されていることを確認します。これにより、エクスプロイト後の監査が可能な限り堅牢になり、より効果的な調査が可能になります。
・管理アカウント:これらは王国への鍵であり、追加レベルの保護です。管理アカウントがクラウドのみであり、ActivityDirectoryから同期されていないことを確認してください。MFAは常に適用する必要があり、緊急アクセスアカウントも作成する必要があります。
・ポリシーのギャップ: IDポリシーとプロセスに弱点が存在しないようにすることが重要です。多くの場合、DARTは、小さな設定ミスが脅威アクターのエントリポイントにつながる可能性があることを発見します。
2021年を振り返るにはまだ少し早いかと思いますが、サイバーセキュリティの分野で考えると、ランサムとフィッシング攻撃の増加は、外せないかと思います。
誤解を恐れずに言えば、0ディや既知の脆弱性よりも、「今後怖い」のがフィッシングなどによって、DarkWeb上で販売されている”認証情報”な気がします。
これらの認証情報は、分業制が進んだ犯罪者の間で、”次の攻撃”に使える情報です。
ランサム攻撃グループを始めとする脅威アクターが、こうした情報を有効に「活用」している事によって、初期アクセス攻撃のバリエーションが増えており、それが2021年においてランサム被害が拡大している要因となっている様に思います。
パスワードスプレー攻撃の増加は、会員サイト、企業ポータルのみならず、VPN/RDP機器への管理者アクセス等でも使われる、いわば”万能な手法”であり、匿名や海外IPアドレスからの別々な認証試行など、Microsoft Cloud App Security等を使って、スプレー攻撃の痕跡(疑わしいアクション)を日常的に確認する事によって、不正アクセス被害を防ぐ、あるいは被害を受けても影響を最小化する事につながるのではないでしょうか。
参考:パスワード強化(脆弱なパスワードの排除)
docs.microsoft.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
