権限昇格とは

アカウントの乗っ取りは、ハッカーが標的のシステムに不正にアクセスする最も一般的な方法の1つです。IBM X-Force Threat Intelligence Indexによると、サイバー攻撃の30％は盗まれたアカウントを使用してシステムに侵入します。攻撃者が低レベルのアカウントを標的にするのは、保護対策がしっかりとなされている管理者アカウントよりも乗っ取りやすいためです。

攻撃者は最初の侵入を果たした後、システムの脆弱性を悪用し、ソーシャル・エンジニアリングなどの手法を使用して権限を昇格させることができます。より高い特権で武装した攻撃者は、機密データの窃取、 ランサムウェアのインストール、システムの妨害など、悪意のある活動をより簡単に行うことができます。

権限昇格攻撃を実行するハッカーは、まず下位レベルのユーザーまたはゲスト・アカウントへのアクセスを取得します。システム内部に侵入すると、サイバーセキュリティー防御の脆弱性やギャップを悪用して権限を昇格させます。

脅威アクターは、乗っ取りやすい低レベルのアカウントから始めます。低レベルのアカウントは特権ユーザー・アカウントよりも多く存在するため、全体的な攻撃対象領域は広くなります。低レベルのアカウントでは、セキュリティ制御も少なくなる傾向があります。ハッカーは、認証情報の盗難やフィッシングなどの手法を通じて、これらの低レベルのアカウントを乗っ取ります。

低レベルのアカウントはハッカーに足を踏み入れるきっかけを与えますが、一度侵入すると、大したことはできません。組織はこれらのアカウントの権限を意図的に制限して、機密データへのアクセスや重要な資産とのやり取りができないようにしています。

そこで、攻撃者はシステム内部から特権アクセスを取得する方法を探します。

大まかに言えば、2つの方法があります。盗んだアカウントの権限を上げるか、システム管理者など、より権限の高いユーザーのアカウントを乗っ取るかのどちらかです。特権アクセスにより、攻撃者はアプリケーション、データベース、および機密情報を含む可能性のあるその他のリソースにアクセスできます。

ハッカーは偵察を行い、権限昇格の機会を探すため、システムに長期間潜伏することができます。その間に、検知された場合にネットワークへの再侵入を可能にするバックドアをインストールすることがあります。

ハッカーはネットワークを探索しながら、水平方向や垂直方向に移動することができます。

横移動とも呼ばれる水平権限昇格は、攻撃者が同等レベルの権限を持つ別のアカウントにアクセスする行為です。新しい権限を得るわけではありませんが、水平方向に移動することで攻撃範囲が広がり、より多くのインテリジェンスを収集して被害を拡大させるおそれがあります。

例えば、ハッカーが銀行向けWebアプリケーションで複数のユーザー・アカウントを乗っ取るケースがあります。このとき攻撃者のシステム上の権限は昇格しなくても、複数ユーザーの銀行口座にアクセスできてしまいます。

特権昇格の一種である「垂直特権昇格」は、一般ユーザーアカウントから管理者権限アカウントへ権限レベルを引き上げる行為を指します。

ハッカーは、システムのバグや設定ミスを突いて既存アカウントの権限を引き上げる「垂直型特権昇格」を実行することもあります。

多くの攻撃者にとって垂直的な権限昇格の最終目的はroot権限の取得です。rootアカウントはシステム上のすべてのプログラム、ファイル、リソースにほぼ無制限でアクセスできます。ハッカーはこの権限を利用してシステム設定を変更し、コマンドを実行し、マルウェアをインストールしてネットワーク資産を完全に掌握できます。

典型的な特権昇格攻撃のベクトルには、次のようなものがあります。

• 侵害された認証情報
• 脆弱性の悪用
• 構成ミス
• マルウェア
• ソーシャル・エンジニアリング
• オペレーティング・システムの悪用

盗用または漏えいした認証情報を使うことは、最も一般的な特権昇格手法の1つであり、不正にアカウントへアクセスする最も容易な方法でもあります。

ハッカーは、フィッシング、データ侵害、または正当なアカウントのユーザー名とパスワードを推測しようとするブルートフォース攻撃を通じて認証情報を取得する可能性があります。

ハッカーはしばしば、パッチ未適用の欠陥やコーディング・エラーなどのソフトウェアの脆弱性を悪用し、アカウントの権限を昇格させます。

バッファー・オーバーフロー攻撃は一般的な手口の一つです。攻撃者はプログラムが処理できる量を超えるデータをメモリーブロックに送り込み、プログラムが隣接領域を上書きする挙動を利用して動作を変更させ、悪意のあるコードを注入します。

攻撃者は、権限昇格を目的として、バッファー・オーバーフロー攻撃を使用して、攻撃対象のアプリケーションと同じ権限を付与するリモート・シェルを開くことができます。

権限、サービス、またはオペレーティング・システムの設定を謝ると、ハッカーがセキュリティー対策を迂回して侵入する機会を与えることになります。

たとえば、IDおよびアクセス管理（IAM）ソリューションの設定が誤っていると、ユーザーに本来必要以上の権限を付与してしまう可能性があります。機密データベースが誤ってパブリックWebに公開されれば、ハッカーに即座に侵入される恐れがあります。

ハッカーは、最初のシステムアクセスを利用して、バックドアをインストールしたり、キーストロークを記録したり、他のユーザーをスパイしたりする悪意のあるペイロードを投下する可能性があります。その後、ハッカーはマルウェアの機能を利用して認証情報を収集し、管理者アカウントにアクセスします。

ハッカーはソーシャル・エンジニアリングを使用して、人々を操作し、共有すべきでない情報を共有させたり、マルウェアをダウンロードさせたり、悪意のあるWebサイトにアクセスさせたりします。

ソーシャル・エンジニアリングは、特権昇格攻撃でよく用いられる手法です。攻撃者はソーシャル・エンジニアリングを活用して低レベルのアカウント認証情報を盗み、初期アクセスを取得することが少なくありません。ネットワーク内部に侵入すると、ハッカーはソーシャル・エンジニアリングによって他のユーザーをだまし、認証情報を共有させたり、機密資産へのアクセスを許可させたりします。

例えば、攻撃者は乗っ取った従業員アカウントを使用して、他の従業員にフィッシングメールを送信する可能性があります。フィッシングメールは正規のメールアカウントから送信されるため、騙される可能性が高くなります。

特権昇格攻撃者は、多くの場合、特定のOSの脆弱性を悪用します。広く利用され、権限構造が複雑なMicrosoft WindowsとLinuxが主な標的です。

攻撃者はLinuxのオープンソースコードを調べ、権限昇格攻撃を実行する手段を探ることがよくあります。

一般的に狙われやすいのが、管理者が一般ユーザーに一時的な管理権限を付与するLinuxの「sudo」コマンドです。攻撃者がsudo権限を持つ一般ユーザー・アカウントに侵入すると、その昇格権限を利用して悪意のコマンドを実行できます。

もう1つの手法は「列挙」を用いてLinuxのユーザー名を取得することです。攻撃者は、誤設定されたFTPサーバーなどを経由してまずLinuxシステムのシェルにアクセスし、システム内のすべてのユーザーを列挙するコマンドを実行します。得られたユーザー名リストを使い、ブルートフォース攻撃などで各アカウントを乗っ取ることが可能になります。

Windowsは企業で広く利用されているため、権限昇格の主要な標的になりがちです。

一般的な手法の1つは、Windowsのユーザーアカウント制御（UAC）をバイパスすることです。UACは、ユーザーが標準権限か管理者権限かのどちらにアクセスできるかを判断します。UACの保護レベルが十分でない場合、攻撃者は特定のコマンドを実行してこれを回避し、その結果、管理者権限を取得できます。

ダイナミックリンクライブラリ（DLL）のハイジャックは、Windowsにおける代表的な攻撃ベクトルの1つです。DLLは、複数のシステムリソースから同時に利用されるコードを格納するファイルです。

攻撃者はまず、正規のDLLと同じディレクトリーに感染ファイルを配置します。プログラムが本来のDLLを読み込もうとすると、代わりに攻撃者のファイルが呼び出され、悪意あるコードが実行されて権限昇格を助長します。

ゼロトラストの姿勢では、すべてのユーザーを潜在的なサイバー脅威と見なし、権限昇格のリスクを軽減できます。権限昇格を防止・検知するための一般的なセキュリティ制御には、次のようなものがあります。

• 強力なパスワード
• パッチ管理
• 最小権限の原則
• 多要素認証（MFA）
• エンドポイントの保護
• ユーザー行動分析