複数ライセンス割引見積
コンピュータセキュリティ 警戒せよ!イランのサイバー攻撃が世界規模で継続中の重要インフラを脅かす

警戒せよ!イランのサイバー攻撃が世界規模で継続中の重要インフラを脅かす

コンピュータセキュリティMuraまで
翻訳内容:
日本語

サイバー脅威は絶えず進化しており、最も憂慮すべき傾向の 1 つは、重要インフラを狙った国家主導のサイバー攻撃の増加です。米国、オーストラリア、カナダのサイバーセキュリティ機関と諜報機関による最近の共同勧告では、イランのサイバー攻撃者が医療、エネルギー、政府、情報技術などの主要分野を狙って 1 年にわたってキャンペーンを展開していることが明らかにされています。

イランのサイバー攻撃の背後にある手法

2023年10月以来、イランのサイバー攻撃者はブルートフォース攻撃とパスワードスプレー攻撃を駆使して組織に侵入している。これらの戦術には、パスワードを体系的に推測し、ログインシステムを圧倒してユーザーアカウントに不正アクセスすることが含まれる。医療、エンジニアリング、政府サービスなどの分野は、その機密性と重要性を考えると、主なターゲットとなっている。

こうした攻撃者が使用する新たな戦術の 1 つに、多要素認証 (MFA) プッシュ爆撃 (MFA 疲労とも呼ばれる) があります。攻撃者は、ユーザーに MFA 要求を繰り返し送信することで、被害者を困惑させたり混乱させたりして、意図せずアクセスを承認させようとします。Tenable のサイバーセキュリティ専門家 Ray Carney 氏は、フィッシング耐性のある MFA を使用するか、番号マッチングを採用して、より安全な認証プロセスを実現することを提案しています。

これらの攻撃の主な目的は、認証情報や詳細なネットワーク情報を盗み出し、それを地下フォーラムで販売することです。これにより、他のサイバー犯罪者が侵害されたシステムを悪用してさらなる攻撃を行う機会が生まれ、国家支援のグループと組織化されたサイバー犯罪の連携という、より広範なサイバーセキュリティの状況と一致します。

高度な攻撃テクニック

イランの攻撃者は通常、最初のアクセス後、標的のシステムを徹底的に偵察します。彼らは、組織独自のインフラストラクチャを利用して検出されないままでいる「Living-Off-The-Land」(LotL)ツールを使用します。よく知られている Zerologon 脆弱性(CVE-2020-1472)などの権限昇格エクスプロイトは、攻撃者がシステムのより深いところまで侵入するのに役立ちます。

多くの場合、攻撃者はリモート デスクトップ プロトコル (RDP) や Cobalt Strike などのツールを利用して、コマンド アンド コントロール (C2) 接続を確立します。特に、攻撃者は自分のデバイスを MFA システムに登録して、疑われることなく長期間にわたって永続的なアクセスを維持することがあります。

Active Directory とそれ以降をターゲットとする

イランのサイバー攻撃者は、多くの企業の IT 環境のバックボーンである Active Directory への侵入にますます力を入れています。Active Directory は、ネットワーク全体でのユーザー認証と権限の管理において重要な役割を果たします。このシステムが侵害されると、攻撃者は権限を昇格し、機密性の高い情報にアクセスして重要なシステムを制御できるようになります。

最近の世界的な脅威情勢の変化は、国家主導のハッキンググループとサイバー犯罪組織との連携の傾向も示しています。マイクロソフトの 2024 年デジタル防御レポートでは、イランの国家支援を受けた攻撃者が地政学的理由だけでなく、金銭的利益も動機としていることが強調されています。攻撃者は、活動の一部をサイバー犯罪者にアウトソーシングすることで、目立たないようにしながら攻撃範囲を拡大しています。

組織ができること

これらのリスクを軽減するために、対象分野の組織は積極的な対策を講じる必要があります。

  • 可能な限り、フィッシング耐性のある MFA を実装します。実現できない場合は、番号の照合を二次認証オプションとして使用します。
  • 特に Active Directory やその他の重要なシステムにおいて、脆弱性を定期的に監査し、パッチを適用します。
  • 従業員に MFA 疲労の兆候を認識できるようにトレーニングし、疑わしいログイン試行を報告するように奨励します。
  • ネットワーク トラフィックを監視して、異常なアクティビティ、特に既知の C2 インフラストラクチャへの送信接続を検出します。
  • 政府機関や業界の同業者と連携して、最新の脅威や防御のベストプラクティスに関する最新情報を入手します。

今後の道

サイバー攻撃はますます巧妙化し、世界的な地政学的目的と絡み合っているため、企業は警戒を怠ってはならない。イランのサイバー攻撃者による1年にわたる攻撃は、適切な防御策を講じなければ、最も堅牢なセキュリティシステムでさえも侵害される可能性があることをはっきりと思い起こさせるものだ。

これらの脅威に先手を打つには、継続的な適応、連携、サイバーセキュリティのベストプラクティスへの取り組みが必要です。侵入不可能なシステムはありませんが、十分な情報と準備のある組織は、増加するサイバー攻撃の波に耐えられる可能性がはるかに高くなります。

読み込んでいます...