CISAがイベントログのベストプラクティス公開 流行する環境寄生型攻撃に対処:Cybersecurity Dive
CISAは流行する「Living Off The Land」(環境寄生型)攻撃に対処するために、イベントログに関するベストプラクティスを公開した。これはMicrosoft Exchange Onlineにおける不正アクセス事案を受けたものだ。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2024年8月24日(現地時間、以下同)に発表した内容によると、Microsoftが実施したイベントログへのアクセス拡大は、米政府機関や(電力やガス、鉄道、空港などの)重要インフラプロバイダーにおけるネットワーク環境の可視性向上に役立っているという。
CISAがイベントログのベストプラクティス公開 流行する環境寄生型攻撃に対処
国家の支援を受けた脅威アクターが「Microsoft Exchange Online」にアクセスして、国務省の電子メール数千通を盗んだことを受けて、Microsoftは2023年にセキュリティログへの無料アクセスを拡大した(注1)。
CISAでサイバーセキュリティを担当するジェフ・グリーン氏(エグゼクティブアシスタントディレクター)は、電子メールで次のように述べている。
「Microsoftは、2023年の侵害を検出するために国務省が使用したログ要素へのアクセスを、全ての連邦政府機関や多数の重要インフラ組織を含む多くの顧客に拡大した。これらの新しいログは、今日の組織によって脅威検出のために使用されている」
2024年4月、サイバー安全審査会(CSRB)は(注2)、Microsoftを非難する報告書を発表し、「今回の攻撃は同社における長年の怠慢の結果であり、完全に防ぐことが可能なものだった」と述べた。
Microsoftは2024年の初めに「Secure Future Initiative」と名付けられたプログラムを通じて(注3)、社内のセキュリティ文化を抜本的に見直す取り組みを始めた。同社はすでにセキュリティガバナンスを再編成し、ソフトウェアの開発や顧客および業界全体との関わり方においてセキュリティを最優先するための措置を講じている。
グリーン氏は「CISAはMicrosoftがセキュリティに関する約束を守るよう、責任を追及する計画だ。Microsoftおよび他の企業と協力し製品が設計段階から安全であること、Microsoftが2023年の侵害後に発表した製品のセキュリティ向上に関する約束を確実に果たすために、CISAは引き続き取り組んでいく」と話した。
Microsoftは広報担当者を通じて、イベントログの問題についてのコメントを拒否した。
CISAは2024年8月19日の週に、米国連邦捜査局(FBI)や米国国家安全保障局(NSA)、オーストラリア主導の外国のサイバーセキュリティ当局のグループと共にイベントログに関するベストプラクティスガイドを発表したことにより(注4)、米国政府は成果を得た。
この新しいガイドは「Volt Typhoon」のような国家に関連する脅威グループによる高度な脅威活動に対抗するための取り組みの一環である。このグループは、通常のセキュリティツールを使用してネットワーク内を移動する際にアラートを引き起こさない「Living Off The Land」(※)を使用して脅威活動を隠蔽(いんぺい)している。
(※): 環境寄生型攻撃。攻撃者がシステムに侵入した後、システムに組み込まれているツールやバイナリを活用して攻撃を継続する手法
サイバーセキュリティ事業を営むReliaquestの研究者は、「Medusa」という名称で知られるランサムウェアの攻撃者を追跡している(注5)。この攻撃者も複数の攻撃でLiving Off The Landの技術を使用している。
Reliaquestのアレックス・カプラロ氏(サイバーインテリジェンスアナリスト)は、電子メールで次のように述べた。
「このガイドで示されているイベントログと脅威検出のベストプラクティスを実装することにより、組織は悪意のある活動を特定し軽減する能力を強化し、ネットワークやデバイス、データを侵害から保護できる」
(注1)Microsoft extends security log retention following State Department hacks(Cybersecurity Dive)
(注2)Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
(注3)Microsoft to overhaul internal security practices after Midnight Blizzard attack(Cybersecurity Dive)
(注4)US, Australian authorities lead international push to adopt event logging(Cybersecurity Dive)
(注5)Medusa Attack Analysis(ReliaQuest)
© Industry Dive. All rights reserved.
関連記事
やっぱり安全を求めるなら「C」や「C++」ではなく「Rust」 Androidが取り組みを紹介
GoogleのAndroidチームはファームウェアのセキュリティを高めるためにメモリセーフなプログラミング言語であるRustの導入を紹介した。具体的にはどう活用しているのだろうか。ランサムウェア身代金、支払うべきか、支払わないべきか 最新事情から考える
ランサムウェア対応においては「身代金を支払うべきかどうか」がしばしば議論に上ります。支払いの是非については、それぞれの主張があるため甲乙つけがたいですが、調査から攻撃者側の最新事情も見えてきたので紹介したいと思います。半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。サイバー攻撃への対処はいくらかかる? 損害項目と金額をまとめてみた
ランサムウェア攻撃では多額の金銭的な損害が発生するが、具体的にどのくらいの金額なのか、と聞かれると答えに窮するだろう。この難しい問いに答える画期的なレポートの作成者たちに公開の背景や意図、具体的な損害額などを聞いた。