クラウドやエンドポイントをまたがる「クロスドメイン攻撃」に要注意：セキュリティニュースアラート

クラウドストライクは、アイデンティティーやクラウド、エンドポイントなど、組織の異なるIT領域を横断して実行されるクロスドメイン攻撃の増加を警告した。同社はこれに向けて3つのセキュリティ対策を提言している。

[後藤大地，有限会社オングス]

　クラウドストライクは2025年2月28日、クロスドメイン攻撃の増加とその脅威に関する最新の分析を発表した。クロスドメイン攻撃とは、アイデンティティーやクラウド、エンドポイントなど、組織の異なるIT領域を横断して実行される攻撃手法であり、痕跡を最小限に抑えることで検知を困難にしている。

最新のクロスドメイン攻撃の実態と、3つの対策

　盗まれた認証情報を利用してクラウド環境に侵入し、エンドポイント間を移動する攻撃が急増している。攻撃者は高度なフィッシング手法や情報窃取型マルウェアを活用し、侵害した認証情報を使って適切に保護されていないクラウド環境に直接アクセスする。マルウェアではなくリモート監視および管理（RMM）ツールを展開することで従来の検知システムを回避する傾向がある。

　「SCATTERED SPIDER」は、クロスドメイン攻撃の巧妙な手法を駆使するサイバー犯罪グループとして知られている。2023〜2024年にかけて標的のクラウド環境内でスピアフィッシングやポリシー改ざん、パスワードマネジャーへのアクセスといった手口を多用する巧妙なクロスドメイン攻撃を実行していた。

　2024年5月にはクラウドサービスの仮想マシン管理エージェントを悪用してクラウド内のインスタンスに足場を築いていたことが確認されている。フィッシング攻撃によって取得した認証情報を使い、クラウドコントロールプレーンにアクセスし、永続的な侵入を確立していた。

　攻撃は電子メールやクラウド管理、仮想マシン環境といった複数の領域にまたがっており、従来のシグネチャベースの検知技術では検出が困難であったとされている。最終的にクラウドコントロールプレーンのテレメトリーおよび仮想マシン内のログの分析によって攻撃が特定されている。

　北朝鮮とのつながりがある脅威グループ「FAMOUS CHOLLIMA」は、より巧妙な攻撃キャンペーンを展開していたとされている。攻撃者は偽造または盗まれた身分証明書を使用して企業の採用プロセスをすり抜け、契約社員や正社員として潜入。履歴書には連続した職歴が記載され、異常が見られないよう巧妙に偽装されていた。

　クラウドストライクは2024年4月、米国の航空宇宙や防衛、小売、テクノロジー企業30社以上がFAMOUS CHOLLIMAの標的となっていたことを特定している。監視データを分析した結果、攻撃者が会社の認証情報を悪用してネットワークアクセスやRMMツールの展開を試みていたことが判明しており、攻撃スキームに関与した複数の関係者が米司法省（DOJ）によって起訴され、北朝鮮政府およびその兵器プログラムの資金調達を狙ったサイバー攻撃であることが明らかにされている。

　クラウドストライクはクロスドメイン攻撃の高度化に対抗するため、次のような対策を推奨している。

• 全領域の可視化：　クロスドメイン攻撃の検知や相関分析には企業全域（クラウドやエンドポイント、アイデンティティー）を統一された方法で可視化する必要がある。このようなアプローチによって攻撃者による環境内での水平移動を防ぎ、対応時間を縮め、インシデントの兆候が侵害に発展する可能性を低減できる
• クロスドメインハンティングの統合：　24時間365日体制でリアルタイムに監視する脅威ハンターがいれば、セキュリティ対象領域を横断して進行している悪意のある振る舞いをプロアクティブに探索できる。従業員の行動を継続的に監視することでRMMツールの異常な動作など通常とは異なる振る舞いを検知できる
• アイデンティティーを最重視：　アイデンティティーは最も急増している脅威ベクトルとされている。リスクを低減させるためには多要素認証（MFA）や生体認証といった高度な本人確認プロセスを実装しなければならない。強力な認証手順を確立することに加え、アイデンティティー保護機能を導入し、侵害に発展する前に異常な認証イベントを検知する必要がある

　クラウドストライクはクロスドメイン攻撃がますます巧妙化していると警告しており、テクノロジーだけでなく人的な分析と脅威ハンティングの重要性を強調している。企業は被害が出る前に脅威ハンターおよびインテリジェンスアナリストが最先端のツールを駆使して対応することを推奨している。