21 世紀初頭以来のサイバー犯罪における最も顕著な変化の一つは、その違法産業が個々のハッカーから収益性の高いビジネスまで成熟したことです。 世界的な違法市場である E-Root は、2020 年に法執行機関によって解体されましたが、最近、その管理者が、盗難に遭ったリモートデスクトッププロトコル(RDP)とセキュアシェル(SSH)アカウントを販売したことで 20 年の懲役刑に直面することがニュースに取り上げられました。
E-Root は、盗まれた認証情報や漏洩したサーバーへのアクセスなど、さまざまなデジタル商品の販売を促進することに特化していました。 バイヤーには、ISP、オペレーティングシステム、RDP、SSH アクセスなどの基準で、市場をナビゲートするためのフィルタリング検索ツールが提供されました。 そのサイバー犯罪組織は、回復力と回避力を強化するために広範に分散されたネットワーク全体で運営されており、ベンダー、バイヤー、管理者の実際の身元情報を隠すための保護機能が組み込まれていました。
今回のインシデントは、サイバー脅威が進化し増加し続ける中、データ侵害を防ぐために特権アクセスを保護することの重要性をはっきりと思い出させるものです。
リモートデスクトッププロトコル
RDP は、ユーザーが Windows オペレーティングシステムを介して組織のオンプレミスコンピューターにリモート接続できるようにするネットワーク通信プロトコルです。 また、サーバーのメンテナンスやその他のタスクをリモートで実行するために、IT チームにもよく使用されています。
RDP は、人間(通常は IT 管理者や DevOps 担当者)が使用するインフラストラクチャシークレットのように動作しますが、通常のエンドユーザーが RDP を使用してリモートでファイルにアクセスすることがあります。
RDP はリモート管理のための貴重なツールですが、サイバー犯罪者に悪用されると重大なセキュリティリスクになります。 長年にわたり、漏洩した RDP パスワードはランサムウェア感染の最も一般的な経路でした。
RDPのパスワードが漏洩した際に起こり得る悪影響は、ランサムウェア攻撃だけではありません。 脅威アクターが RDP を侵害すると、ソフトウェアツールとコマンドラインスクリプトを使用して、より多くの認証情報を検索して盗んだり、組織のネットワークをくねくねと通り抜けてファイルにアクセスしたりすることができます。 それらのファイルを盗んだり、削除したり、改ざんしたり、思うがままに操ったりすることが可能なのです。
セキュアシェル
SSH は、2 台のネットワーク接続されたコンピュータ間での安全なデータ通信、リモートコマンドラインログイン、その他の安全なネットワークサービスに使用される暗号ネットワークプロトコルです。 SSH キーやその他の接続認証情報は、DevOps や DevSecOps チームにとって不可欠なリソースであり、サーバーに安全にアクセスするために広く使用されています。
SSH キーやその他の認証情報を安全な方法で使用するのは簡単ではありません。 ネットワーク間あるいはユーザー間でキーを転送すると、リスクが生じます。
その結果、侵害された SSH アカウントが悪用され、組織のサーバーやセンシティブデータが不正に制御されてしまう可能性があります。
RDP や SSH アカウントを盗む唯一の方法が、安全でないリモート接続を経由することであるならば、これを防ぐ効果的な方法はあるのでしょうか。
RDP や SSH アカウントがダークウェブに流出するのを防ぐ対策を採用する
組織は、シームレスな運営を実現するために RDP や SSH に依存するところが大きいため、それらがサイバー犯罪者の主要なターゲットとなっています。 盗まれたアカウントは、往々にして E-Root などのダークウェブマーケットプレイスに流出してしまうのです。
E-Root の解体は前向きな進展でしたが、その他多くの違法なマーケットプレイスは存続しており、脅威が消えたわけではないことを強調しています。 SSH や RDP 認証情報を盗難や悪用から守るために、組織は以下のような事前対策を講じる必要があります。
- 特権アカウントの保護:アカウントの定義、管理、保護のために、IT システムへのアクセスを昇格させて堅牢な対策を実装します。 これは、パスワードやシークレットを安全なボルトに保管することに加え、ロールベースのアクセス制御で機密性の高い認証情報へのアクセスを制限し、絶対的に必要な個人のみに権限を与えるものです。
- 最小権限の原則を施行:必要なタスクを実行するために必要な最小レベルのアクセスのみを従業員に許可することで、ユーザー、アプリケーション、システムのアクセス権を制限します。 最小特権を利用して、組織は不正アクセスや悪用の可能性を軽減できます。
- 認証情報のローテーション:定期的に認証情報をローテーションすることで、従業員の解雇やデータ侵害、ダークウェブへの流出などに伴うセキュリティ脅威を軽減します。 この慣行は、漏洩した認証情報を悪意のあるアクターに悪用される機会を最小限に抑えることで、セキュリティを強化します。
- 特権セッション管理:重要なインフラストラクチャが特権アカウントセッション管理を通じてアクセスされることを徹底します。 すべてのセッションは安全であるべきです。そして、不正アクセスを防ぐために認証情報はエンドユーザーからは見えなくする必要があります。
Keeper® は RDP や SSH アカウント保護のための最良のオプションです
Keeper Security の特権アクセス管理(PAM)ソリューションは、重要なシステムやデータへの不正アクセスを防ぐための次世代プラットフォームです。KeeperPAM™ は、すべての RDP や SSH アカウント、デジタル証明書、その他の機密性の高い接続トークンを保護します。 Keeper のゼロトラストおよびゼロ知識アーキテクチャは、認証されたユーザーのみがシークレットや認証情報、リモート接続にアクセスできることを意味します。
Keeperシークレットマネージャー(KSM) は、DevOps や DevSecOps チームがシステム内のシークレットや認証情報への動的なプログラムアクセスを作成することを可能にします。新しいハードウェアやエージェントソフトウェアを入手してインストールする必要はありません。 KSM は、業界トップクラスのツール向けに事前設定された接続で、クラウドで動作します。 これにより、 組織が現在使用している技術スタックへの KSM のシームレスな統合を促進し、最高レベルのセキュリティを実現する Keeper のゼロ知識、ゼロトラストアーキテクチャを導入する一方、アプライアンスを追加する必要はありません。
Keeper コネクションマネージャー (KCM)は、RDP、SSH、データベース、Kubernetes エンドポイントへのシンプルで安全なアクセスを IT や DevOps 担当者に提供します。VPN は必要ありません。 KCM はエージェントレスです。お使いのウェブブラウザがクライアントであり、ドメインコントローラーやその他のサービスには影響はありません。 ユーザーは、管理者が詳細なアクセス制御を明示的に付与した接続のみにアクセスできます。
Keeperエンタープライズパスワードマネージャー (EPM) は、ユーザーのパスワード習慣に対する完全な可視性と制御を IT チームに提供します。 各ユーザーには、認証情報、パスキー、機密ファイルなどを保存して共有するための安全なデジタルボルトがプロビジョニングされます。 Keeper は、SSO やパスワードレスプロバイダーとも統合し、エンドツーエンドのパスワードレス認証体験を提供します。
今すぐ Keeper のデモをリクエストして、組織を保護しましょう。