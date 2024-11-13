セキュリティー

敵対的優位性：国家レベルの脅威分析を活用して米国サイバーセキュリティーを強化

Kavraisky VII Projectionによる世界地図。川や正確な経度/緯度線を含む。

共同執筆者

Doug Bonderud

Writer

国家が背後にある攻撃者は、データの破壊からステルスとスパイ活動を優先するものへと方向転換し、アプローチを変化しています。Microsoft 2023 Digital Defense Reportによると、「国家主導の攻撃者は投資を増やし、検知を回避して戦略的優先事項を達成するために、より高度なサイバー攻撃を仕掛けている」とのことです。

これらの攻撃者は米国のインフラストラクチャーと保護されたデータにクリティカルな脅威をもたらし、どちらかの参考情報が侵害されれば、国民を危険にさらす可能性があります。

ありがたいことに、これらの悪意のある取り組みには良い面があります。それが、情報です。国家の施策を分析することで、官公庁・自治体や民間企業は、これらの攻撃を追跡、管理、軽減するための準備をしっかりと整えることができます。

敵を知る：行動する国家

サイバーセキュリティ・インフラ保安庁(CISA)は、中国政府、ロシア政府、北朝鮮政府、イラン政府の4つの主要な国家主体を特定しています。これらの攻撃者はそれぞれ、さまざまな方法を使用してセキュリティーを侵害し、被害者のネットワークにアクセスします。

CISAの脅威ハンティング担当アソシエイト・ディレクター、Jermaine Roebuck氏はこう述べています。「これらには、フィッシング、盗まれた認証情報の使用、パッチが適用されていない脆弱性やセキュリティ設定の誤りの悪用が含まれます。ネットワーク・アーキテクチャーについて学習し、脆弱性を特定するために、侵害前に広範な偵察を実施します。この情報を使用して、これらの国家支援の攻撃者は、エッジ対応デバイスの脆弱性を悪用し、システムの構成ミスを利用して初期アクセスを取得します。既知の脆弱性に対しては、公開されているエクスプロイト・コードを使用することが多いですが、ゼロデイ脆弱性の発見と悪用にも長けています。被害者のネットワークにアクセスすると、高度な攻撃者は土地を離れて生活する（LOTL）技術を使用して検知を回避します」

脅威アクターが使用する手法や戦術を理解することで、組織は限られたセキュリティー・リソースを最も効果的な場所に割り当てる準備が整います。「これらの戦術を知ることで、防御側は特定のセキュリティー概念とテクノロジークラスを適用して敵対者を軽減し、明確に定義されたデータのプロパティーと価値に焦点を当ててその手法を検知することができます」と、Roebuck氏は言います。

言い換えれば、企業や政府機関が国家の攻撃手法について学ぶほど、より良い結果が得られるのです。

基本に立ち返る：セキュリティーのコインのもう一方の面

各国家の行動はアメリカのサイバーセキュリティーを守るための洞察を与えてくれますが、効果的な防衛にはもうひとつのコンポーネントがあります。それは、基本に立ち返ることです。

たとえば、これらのアプローチは相互に排他的ではありません。同時に、官公庁・自治体は偽情報キャンペーンを特定し、解体する必要があります。侵害のリスクを軽減するために、システムに耐タンパー性の多要素認証（MFA）を確実に組み込むことも同様にクリティカルです。

Roebuck氏によると、その他のCISAの推奨事項には次のものがあります。

  • 強力な認証の実装：多要素認証は、組織にさらなるセキュリティー層を提供します。「MFAは、認証情報漏洩のリスクを軽減し、フィッシング攻撃の影響を軽減し、機密データを保護し、コンプライアンスを強化し、進化するセキュリティー脅威に適応するため、セキュリティーを向上させます」とRoebuck氏は言います。
  • システムの定期的な更新とパッチ適用：国家が背後にある攻撃は、絶えず進化しています。サイバーセキュリティーが静的なままであれば、組織はリスクにさらされます。定期的なシステム更新とパッチ適用は、システムの安定性の向上、セキュリティー・コンプライアンスの強化、脆弱性リスクの軽減など、主要なセキュリティー上のメリットをもたらします。
  • 従業員の教育プログラム：Roebuck社は、従業員の教育プログラムが効果的なサイバーセキュリティーのクリティカルなコンポーネントであることを明確にしています。

「組織は、フィッシング攻撃を認識し、適切なサイバー衛生を実践するための定期的なトレーニング・セッションを実施する必要があります」と彼は言います。「信頼できるオープンソース・インテリジェンス（OSINT）情報源によると、侵入の75%は『マルウェアなし』でした。これは、脅威アクターがフィッシングやソーシャル・エンジニアリングを通じて取得した有効なアカウントを使用して「フロントドアを通過した」ことを意味します。ユーザーは、ソーシャル・エンジニアリング手法やフィッシングメールを見分けられるように、十分なトレーニングを受けている必要があります。

  • ウイルス対策、およびマルウェア対策ソリューションの使用：Roebuck氏によれば、ウイルス対策およびマルウェア対策ツールは、進化する脅威に対して備えた「Sentinel」として機能しています。これらのソリューションの利点には、早期の脅威検知、マルウェアの拡散の抑制、クリティカルデータのリアルタイム保護などがあります。
  • 認証情報の強化：認証情報は、国家が背後にある攻撃者にとってよくある侵入ポイントです。悪意のある攻撃者が正規の認証情報を取得すると、検知されずに企業システムを侵害できることがよくあります。

認証情報に関する懸念を最小限に抑えるために、Roeback氏は、すべてのアカウントに強力な固有のパスワードを持つことを推奨し、企業がデフォルトの認証情報を変更することを提案しています。「強力でユニークなパスワードは、不正アクセスをより厳しくすることで不正アクセスを防ぎ、脅威アクターが他のアカウントに簡単にアクセスできないようにすることで被害を制限し、デフォルトまたは脆弱なパスワードを狙った一般的な攻撃を減らし、機密情報を保護し、全体的なセキュリティを向上させます」

  • アクティビティの監視とロギング：企業にとっては、すべてのネットワーク・アクティビティを監視し、ロギングすることもクリティカルです。Roebuck社は、企業に対して一元的なログ管理を確立し、これらのログに不審なアクティビティがないか定期的にレビューすることを推奨しています。一元化により不審な活動を検知して即座に行動することが容易になるほか、組織がフォレンジック分析を実行して発生源を特定し、攻撃範囲を発見する能力が向上すると指摘しています。
  • リモート・アクセスの保護：組織がアジャイル・オペレーションの必要性を受け入れるにつれて、リモート・アクセスが一般的になりました。しかし、アクセス・ポイントは国家攻撃者にとって魅力的なターゲットです。リモートサービスに安全な構成を使用し、信頼できるIP所在地へのアクセスを制限することで、企業はリモートアクセスのリスクを最小限に抑えることができます。「リモートサービスに対する安全な構成とIP制限の実装は、攻撃対象領域を最小限に抑え、不正アクセスを防ぎ、脅威にさらされるリスクを減らし、監視を強化し、セキュリティ標準に準拠するために極めて重要です」とRoebuck氏は述べています。

チームによる取り組み：国家が背後にある攻撃の新たな現実を切り開く

国家による攻撃は組織的な性質を持つため、どの企業や政府機関も孤立して存在することはできません。むしろ、セキュリティーの向上を可能にするのは、組織の協力的な取り組みです。

CISAも支援の一役割を果たしています。Roebuck氏が指摘するのは、中華人民共和国（PRC）に関する同機関の共同勧告で、新たな脅威を検知、緩和、修復するための推奨行動を示しています。「しかし、洗練された国家国家の脅威アクターが常にTTPを進化させていることはわかっています」と彼は述べます。「CISAは官公庁・自治体、商業およびクリティカルなインフラのパートナーと強力なパートナーシップを結んでおり、PRCのような進化する悪意のあるサイバー活動に対抗するための実行可能な情報を提供しています」

CISAはまた、公共部門と民間部門の組織がサイバーセキュリティの連携を向上させ、国家レベルの脅威からよりよく身を守るためのロードマップを提供する、連邦民間行政部門（FCEB）運用サイバーセキュリティ・アライメント（FOCAL）計画も最近発表しました。

最終的には、Roebuck氏のセキュリティー・アドバイスは、「悪意のある攻撃者の蔓延から保護するためには、侵入を検知し、攻撃者を可能な限り迅速に排除する効果的なソリューションを実装、維持することが重要です」と、単純明快です。

