Google Cloudのレポートによると、2024年の上半期におけるクラウド環境への攻撃の最初のアクセス経路として最も多かったのは、認証情報に対する誤った管理を原因とするものだった。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2024年7月17日(現地時間)に発表した最新の「Threat Horizons Report」において、Google Cloudは「2024年の上半期におけるネットワーク侵入4件のうち3件は、クラウドシステム全体に関する脆弱(ぜいじゃく)な認証情報と設定ミスが原因だった」と述べた(注1)。
Google Cloudによると、認証情報が脆弱なシステムまたは認証情報が存在しないシステムが攻撃の初期アクセス経路として最も多く、2024年の上半期におけるクラウド環境への攻撃の47%を占めた。これは、2023年後半の51%からわずかに減少している(注2)。
2024年の上半期に起こったクラウド環境に対する攻撃のうち初期アクセスの30%は、クラウドの設定ミスに起因している。これは2023年後半の17%から大幅に増加している。
認証情報管理の脆弱性は、サイバーセキュリティの専門家や脅威ハンター、インシデントレスポンス企業が長年にわたって警鐘を鳴らしてきた慢性的な問題だ(注3)。
2024年4月にSnowflakeの100以上の顧客環境を標的とした攻撃の原因は正規の認証情報の悪用であり(注4)(注5)、AT&TやAdvance Auto Parts(注6)(注7)、Pure Storageなどの組織において大規模なデータ侵害を引き起こした(注8)。
SnowflakeとMandiantによると、情報窃取型のマルウェアに感染したことで、Snowflakeの顧客の認証情報が盗まれた。Mandiantの調査によると、影響を受けた顧客アカウントには多要素認証(MFA)が設定されていなかったという。
2024年の初め、ランサムウェア攻撃により米国のヘルスケア業界は数カ月に渡り混乱した。攻撃者は、Citrixのリモートアクセスサーバの認証情報を使用して(注9)、UnitedHealth Groupのグループ企業であるChange Healthcareが使用するシステムにアクセスした。CitrixポータルではMFAが設定されていなかった(注10)。
Google Cloudは、レポートで次のように述べている。
「脆弱な認証情報または認証情報の欠如は、依然として初期アクセスの主な要因であり、最も頻繁に成功する経路でもある。検出ルールのトリガーとしても2番目に多く見られた」
企業が直面する認証情報に関する課題は根強い。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(以下、CISA)は、(電力やガス、鉄道、空港などの)重要インフラネットワークや州および地方の機関に対して2022年に実行された攻撃の半数以上は(注11)、正規の認証情報を悪用したものだったと指摘している。
Mandiantが2023年に対応したランサムウェア攻撃の約40%において(注12)、サイバー犯罪者は被害者の環境に最初にアクセスするために、正規の認証情報を活用するか、ブルートフォース攻撃を使用していた。
IBM X-Forceが毎年発表しているレポート「Threat Intelligence Index」によると、2023年に起きた世界的なサイバー攻撃のほぼ3分の1において(注13)、正規のアカウントが使用されており、2023年の攻撃における最もメジャーな初期アクセス経路となった。
(注1)H2 2024 Threat Horizons Report(Google Cloud)
(注2)H1 2024 Threat Horizons Report(Google Cloud)
(注3)Security has an underlying defect: passwords and authentication(Cybersecurity Dive)
(注4)Snowflake customers caught in identity-based attack spree(Cybersecurity Dive)
(注5)What we know about the Snowflake customer attacks(Cybersecurity Dive)
(注6)Massive Snowflake-linked attack exposes data on nearly 110M AT&T customers(Cybersecurity Dive)
(注7)Snowflake-linked attack on Advance Auto Parts exposes 2.3 million people(Cybersecurity Dive)
(注8)Pure Storage comes forward as an early victim of Snowflake-linked attacks(Cybersecurity Dive)
(注9)Change Healthcare cyberattack: 5 technical takeaways from UnitedHealth CEO’s testimony(Cybersecurity Dive)
(注10)Change Healthcare, compromised by stolen credentials, did not have MFA turned on(Cybersecurity Dive)
(注11)Valid account credentials are behind most cyber intrusions, CISA finds(Cybersecurity Dive)
(注12)CVE exploits, stolen credentials fueled ransomware surge in 2023(Cybersecurity Dive)
(注13)IBM marks monumental shift in valid account attacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.