海の向こうの“セキュリティ”

サイバーセキュリティの“設定ミス”で組織はどんな危険に晒される? CISAとNSAが公開したアドバイザリをチェック

ありがちなサイバーセキュリティの誤設定トップ10とその典型例

 システムやサービスなどの設定ミス(誤設定)はセキュリティインシデントの原因として最も一般的なものの1つです。それを踏まえ、米国家安全保障局(National Security Agency、以降NSA)と米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)は連名で、大規模組織で最もありがちなサイバーセキュリティの誤設定に関するアドバイザリを公開しました。これは実際に確認された事例に基づいてまとめられた文書で、典型例や対策などを紹介しており、基本的には大規模組織に限らず、どのような規模の企業や組織にとっても役立つ内容となっています。

 今回のアドバイザリで挙げられている誤設定トップ10は以下の通り。

1. ソフトウェアやアプリケーションがデフォルト設定

2. ユーザー/管理者権限の分離が不適切

3. 内部ネットワーク監視が不十分

4. ネットワークセグメンテーションの欠如

5. パッチ管理の不備

6. システムのアクセス制御のバイパス

7. 多要素認証(MFA)の方式が弱い、または誤設定

8. ネットワーク共有やサービスのアクセス制御リスト(ACL)が不十分

9. 認証情報の衛生状態が貧弱

10. コード実行が無制限

 このトップ10の内容自体に意外なものはなく、またその対策も基本的には既に広く知られています。しかし、今回の文書で重要なのは、これらのありがちな誤設定について典型例を紹介することで、担当者が見落としているかもしれない誤設定に気付き、抜けや漏れを減らす効果が期待できる点でしょう。

 なお、対策として「Executive Summary」では、ソフトウェアなどの製造業者に対してはセキュア・バイ・デザイン、セキュア・バイ・デフォルトの原則を、またセキュリティ担当者に対してはデフォルトの認証情報の削除と設定の強化、使用していないサービスの無効化とアクセス制御、定期的な更新とパッチの自動適用といった基本的な対策を呼び掛けています。

 今回は上記トップ10の各項目について、その典型例を中心に簡単に紹介します。あくまで抜粋に過ぎませんので、個々の具体的な対策を含む詳細についてはアドバイザリ本文を参照してください。

1. ソフトウェアやアプリケーションがデフォルト設定

- デフォルトの認証情報
悪用例

  • 単純なウェブ検索で認証情報を見つけ、それを使ってデバイスに認証アクセスする。
  • パスワードを忘れた際の質問で予想可能なものを介して、組み込まれた管理者アカウントをリセットする。
  • デフォルトの仮想プライベートネットワーク(VPN)の認証情報を利用して内部ネットワークにアクセスする。
  • 一般に公開されている設定情報を利用して、ウェブアプリケーションに組み込まれた管理者認証情報を特定し、アプリケーションとその基盤となるデータベースにアクセスする。
  • ソフトウェアデプロイメントツールのデフォルトの認証情報を利用して、コードの実行とラテラルムーブメント(横方向の移動)を行う。

- デフォルトのサービス権限と構成設定
アセスメントチームが発見することの多い誤設定

  • 安全でないActive Directory証明書サービス(ADCS: Active Directory Certificate Services)
    1. ウェブ登録(web-enrollment)が有効になっているADCSサーバー
    2. 権限の低いユーザーが登録権限を持ち、登録者がサブジェクトの代替名を指定するADCSテンプレート
  • 安全でないレガシーなプロトコル/サービス
  • 安全でないServer Message Block(SMB)サービス

2. ユーザー/管理者権限の分離が不適切

アセスメントチームが発見しているアカウント分離のありがちな誤設定
- 必要以上のアカウント権限
- サービスアカウント権限の昇格
- 昇格したアカウントの不必要な使用

3. 内部ネットワーク監視が不十分

アセスメントチームが対象ネットワークにアクセスするために悪用した不十分な監視の例。

- あるアセスメントチームは、ホストベースの監視はしているが、ネットワーク監視をしていない組織を観測した。ホストベースの監視は、単体のホスト上での有害な活動を防御チームに通知し、ネットワーク監視は、ホスト間をまたがる有害な活動を通知する。この事例では、組織は感染したホストを特定することはできても、どこから感染したかを特定することはできず、したがって将来のラテラルムーブメントと感染を阻止することはできなかった。

- あるアセスメントチームが、成熟したサイバー体制を持つ大規模組織に対して持続的なディープアクセスを行なった。その組織は、セキュリティ対応を発動させるために目立つ活動をアセスメントチームが試みた場合を含め、アセスメントチームのラテラルムーブメント、持続的な活動、およびコマンドアンドコントロール(C2)活動を検知しなかった。この活動の詳細についてはCISAの「CISA Red Team Shares Key Findings to Improve Monitoring and Hardening of Networks」を参照。

4. ネットワークセグメンテーションの欠如

IT環境と運用技術(operational technology、以降OT)環境間のセグメンテーションの欠如は、OT環境をリスクにさらす。例えば、ネットワークが完全にエアギャップされ、ITネットワークに接続する可能性がないことが事前に保証されていたにもかかわらず、アセスメントチームは特別な目的のネットワーク接続や忘れられたネットワーク接続、さらには偶発的なネットワーク接続を見つけることによって、OTネットワークにアクセスできてしまうことがよくある。

5. パッチ管理の不備

- 定期的なパッチ適用の欠如
攻撃者が公衆向け(public-facing)アプリケーションに対して悪用していることをアセスメントチームが確認している既知の脆弱性の例(一部)

  • Microsoft IISサーバー上で実行されているTelerik UI for ASP.NETのパッチ未適用のインスタンスにおけるCVE-2019-18935
  • パッチが適用されていないVMware HorizonサーバーにおけるCVE-2021-44228(Log4Shell)
  • パッチが適用されていないZimbra Collaboration SuiteのCVE-2022-24682、CVE-2022-27924、CVE-2022-27925、CVE-2022-37042、CVE-2022-30333

- サポートされていないWindowsオペレーティングシステム(OS)や古いファームウェアの使用
アセスメントチームは、更新プログラムMS17-010およびMS08-067が適用されていない、サポートされていないWindowsオペレーティングシステムを使用している組織を頻繁に観測している。

6. システムのアクセス制御のバイパス

悪意のあるアクターは、環境内の代替認証方法を侵害することで、システムのアクセス制御を迂回することができる。悪意のあるアクターがネットワーク内でハッシュを収集することができれば、そのハッシュを使用してパス・ザ・ハッシュ(PtH)などの非標準的手法を使って認証することができる。平文パスワードなしでアカウントを模倣することで、アクターは検出されることなくアクセスを拡大し、強化することができる。Kerberoastingも、特権を昇格させ、組織のネットワーク全体をラテラルムーブメントする最も時間効率の良い方法の1つである。

7. 多要素認証(MFA)の方式が弱い、または誤設定

- スマートカードまたはトークンの誤設定
いくつかのネットワーク(一般的に政府機関や国防総省のネットワーク)では、アカウントにスマートカードやトークンを使用することを要求している。多要素要件はアカウントのパスワードハッシュが変更できないように誤設定されることがある。(スマートカードまたはトークンが代わりに要求されるので)パスワード自体が使用されなくなっても、アカウントのパスワードハッシュは残り、認証に対する代替認証情報として使用できてしまう。そのパスワードハッシュが変更できない場合、悪意のあるアクターがアカウントのパスワードハッシュを一旦入手すると、そのアクターはアカウントが存在する限り、PtH手法によってそれを無期限に使用することができてしまう。

- フィッシング耐性のあるMFAの欠如
MFAの形態によっては、フィッシング、「プッシュボミング(push bombing)」、Signaling System 7(SS7)プロトコルの脆弱性の悪用、「SIM スワップ」技法に対して脆弱である。これらの試みが成功すると、脅威アクターはMFA認証情報にアクセスしたり、MFAをバイパスしてMFAで保護されたシステムにアクセスしたりすることができる。

例えば、アセスメントチームは不足しているMFA情報を提供するようにユーザーを説得するのにボイスフィッシングを使っている。ある事例で、アセスメントチームは、あるユーザーの主な認証情報を知っていたが、ログインの試みはMFA要件によってブロックされていた。そこでチームはITスタッフになりすまし、電話でユーザーにMFAコードを提供するよう説得し、ログイン試行を完了させてユーザーの電子メールや他の組織リソースにアクセスできるようにした。

8. ネットワーク共有やサービスのアクセス制御リスト(ACL)が不十分

- ある侵害事例では、アクターがnet shareコマンド(ローカルコンピュータ上の共有リソースに関する情報を表示するコマンド)およびntfsinfoコマンドを使用して、侵害されたコンピュータ上のネットワーク共有を検索していることが確認されている。同じ侵害事例で、アクターはカスタムツールCovalentStealerを使用しており、これはシステム上のファイル共有を特定し、ファイルを分類し、リモートサーバーにファイルをアップロードするように設計されている。

- ランサムウェアのアクターは、SoftPerfect Network Scanner、netscan.exe(コンピュータへのping送信、ポートのスキャン、共有フォルダの検出が可能)、およびSharpSharesを使用して、ドメイン内のアクセス可能なネットワーク共有の一覧を手に入れている。

9. 認証情報の衛生状態が貧弱

- 容易に解読可能なパスワード
アセスメントチームは、NTLMユーザー、Kerberosサービスアカウントチケット、NetNTLMv2、PFXストアのパスワードハッシュをクラックし、権限昇格やネットワーク内でのラテラルムーブメントを可能にした。あるチームは12時間で、Active Directoryの全ユーザーのパスワードの80%以上をクラックし、数百の有効な認証情報を手に入れることができた。

- 平文パスワードの開示
悪意のあるアクターは、テキストファイル、スプレッドシート、文書、および設定ファイルを検索し、平文パスワードを入手しようとする。アセスメントチームは、平文パスワードを発見することが頻繁にあるため、エミュレートされた侵入を、通常のドメインユーザーアカウントの侵害から、ドメイン管理者やエンタープライズ管理者などの特権アカウントの侵害へとすぐにエスカレートさせることができる。平文パスワードを特定するために使用される一般的なツールは、オープンソースツールのSnafflerである。

10. コード実行が無制限

アセスメントチームや悪意のあるアクターは、実行可能ファイル、ダイナミックリンクライブラリ(DLL)、HTMLアプリケーション、マクロ(OA文書で使用されるスクリプト)の形式で無制限のコード実行を頻繁に活用し、初期アクセス、永続性、およびラテラルムーブメントを確立する。さらに、アクターは、しばしばスクリプト言語を使用して、自らのアクションを目立たなくさせ、許可リスト(組織がアプリケーションやその他の形式のコードをデフォルトで制限し、既知で信頼できるものだけを許可する)を回避する。そしてさらに、アクターは、脆弱なドライバをロードし、そのドライバの既知の脆弱性を悪用して、カーネル内で最高レベルのシステム特権でコードを実行し、デバイスを完全に侵害することがある。

 今回公開された文書は、さまざまな情報が雑然と並べられているところがあり、少々読みづらいと感じる部分もありますが、内容自体は充実していますので、大企業に限らず、CSIRTのメンバーをはじめとするセキュリティ担当の方には一読を強くお勧めします。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。