検索
特集

CISAがイベントログのベストプラクティス公開 流行する環境寄生型攻撃に対処Cybersecurity Dive

CISAは流行する「Living Off The Land」(環境寄生型)攻撃に対処するために、イベントログに関するベストプラクティスを公開した。これはMicrosoft Exchange Onlineにおける不正アクセス事案を受けたものだ。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2024年8月24日(現地時間、以下同)に発表した内容によると、Microsoftが実施したイベントログへのアクセス拡大は、米政府機関や(電力やガス、鉄道、空港などの)重要インフラプロバイダーにおけるネットワーク環境の可視性向上に役立っているという。

CISAがイベントログのベストプラクティス公開 流行する環境寄生型攻撃に対処

 国家の支援を受けた脅威アクターが「Microsoft Exchange Online」にアクセスして、国務省の電子メール数千通を盗んだことを受けて、Microsoftは2023年にセキュリティログへの無料アクセスを拡大した(注1)。

 CISAでサイバーセキュリティを担当するジェフ・グリーン氏(エグゼクティブアシスタントディレクター)は、電子メールで次のように述べている。

 「Microsoftは、2023年の侵害を検出するために国務省が使用したログ要素へのアクセスを、全ての連邦政府機関や多数の重要インフラ組織を含む多くの顧客に拡大した。これらの新しいログは、今日の組織によって脅威検出のために使用されている」

 2024年4月、サイバー安全審査会(CSRB)は(注2)、Microsoftを非難する報告書を発表し、「今回の攻撃は同社における長年の怠慢の結果であり、完全に防ぐことが可能なものだった」と述べた。

 Microsoftは2024年の初めに「Secure Future Initiative」と名付けられたプログラムを通じて(注3)、社内のセキュリティ文化を抜本的に見直す取り組みを始めた。同社はすでにセキュリティガバナンスを再編成し、ソフトウェアの開発や顧客および業界全体との関わり方においてセキュリティを最優先するための措置を講じている。

 グリーン氏は「CISAはMicrosoftがセキュリティに関する約束を守るよう、責任を追及する計画だ。Microsoftおよび他の企業と協力し製品が設計段階から安全であること、Microsoftが2023年の侵害後に発表した製品のセキュリティ向上に関する約束を確実に果たすために、CISAは引き続き取り組んでいく」と話した。

 Microsoftは広報担当者を通じて、イベントログの問題についてのコメントを拒否した。

 CISAは2024年8月19日の週に、米国連邦捜査局(FBI)や米国国家安全保障局(NSA)、オーストラリア主導の外国のサイバーセキュリティ当局のグループと共にイベントログに関するベストプラクティスガイドを発表したことにより(注4)、米国政府は成果を得た。

 この新しいガイドは「Volt Typhoon」のような国家に関連する脅威グループによる高度な脅威活動に対抗するための取り組みの一環である。このグループは、通常のセキュリティツールを使用してネットワーク内を移動する際にアラートを引き起こさない「Living Off The Land」(※)を使用して脅威活動を隠蔽(いんぺい)している。

(※): 環境寄生型攻撃。攻撃者がシステムに侵入した後、システムに組み込まれているツールやバイナリを活用して攻撃を継続する手法

 サイバーセキュリティ事業を営むReliaquestの研究者は、「Medusa」という名称で知られるランサムウェアの攻撃者を追跡している(注5)。この攻撃者も複数の攻撃でLiving Off The Landの技術を使用している。

 Reliaquestのアレックス・カプラロ氏(サイバーインテリジェンスアナリスト)は、電子メールで次のように述べた。

 「このガイドで示されているイベントログと脅威検出のベストプラクティスを実装することにより、組織は悪意のある活動を特定し軽減する能力を強化し、ネットワークやデバイス、データを侵害から保護できる」

© Industry Dive. All rights reserved.

ページトップに戻る