アカウントを奪われたら“打つ手なし”？ イランの攻撃者の“巧妙すぎる手口”：Cybersecurity Dive

FBIやCISAらはイランのサイバー攻撃者の攻撃手法について注意喚起を促した。攻撃者らはブルートフォース手法を使ってユーザーのサービスアカウントを窃取した後、正規のユーザーがアクセスできないような巧妙な仕掛けを施すという。

[Matt Kapko，Cybersecurity Dive]

　連邦捜査局（FBI）や米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）などの世界的なサイバー当局は、2024年10月16日（現地時間）に発表したサイバーセキュリティ共同勧告の中で「イランのサイバー犯罪者は、ブルートフォース攻撃により重要インフラ業界に不正にアクセスしようとしている」と述べた（注1）。

多要素認証を完璧に使いこなす　イランの攻撃者の“巧妙すぎる手口”

　連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、米国国家安全保障局（NSA）、カナダとオーストラリアのパートナー機関は、ネットワーク防御の担当者に対して「イランの攻撃者は2023年10月以降、医療や政府、IT、エンジニアリング、エネルギー分野の組織を標的にしている」と警告した。

　これらの攻撃で観測されたブルートフォース手法には、パスワードスプレー攻撃と多要素認証疲労攻撃が含まれている。当局によると、イランの攻撃者は、「Microsoft 365」や「Microsoft Azure」「Citrix」のシステムへの初期アクセスを得るために、正規のユーザーと正規のグループの電子メールアカウントへの不正アクセスを利用しているという。

　FBIとCISAにより、イランがランサムウェアグループと協力して米国やその他の国の主要産業を攻撃しているという内容の共同警告が発表されてから約1カ月後に（注2）、この度の国際的な共同勧告が発表された。

　同勧告によると、攻撃者は持続的なアクセスを得るために多要素認証（MFA）の登録を頻繁に変更し、その後、追加の認証情報を盗んだり未発見のアクセスポイントを特定するために、侵害されたネットワークを検索するという。

　米国やカナダ、オーストラリアのサイバー当局によると、イランの攻撃者はこれらの認証情報やその他の情報をサイバー犯罪者のフォーラムで販売し、さらなる悪質な活動につなげているという。

　当局によると確認された2件の攻撃において、イランの攻撃者は侵害されたユーザーのMFAに関するオープン登録を使用して、自分のデバイスを登録したという。

　勧告の中で当局は、次のように述べている。

　「確認された別の侵害において、攻撃者は、公開済みの『Active Directory Federation Service』に関連したセルフサービスパスワードをリセットするツールを使用して、有効期限が切れたアカウントのパスワードをリセットした。その後、『Okta』を通じてMFAが設定されていないアカウントにMFAを設定した」

　当局によると、この悪質な活動では、VPNとリモートデスクトッププロトコルを併用して横方向の移動が実行されるケースが多いとされている。

（注1）Iranian Cyber Actors’ Brute Force and Credential Access Activity ompromises Critical Infrastructure Organizations（CISA）
（注2）Iran-linked actors ramping up cyberattacks on US critical infrastructure（Cybersecurity Dive）