組織は、ジャストインタイム (JIT) アクセスを実
組織は、センシティブデータを不正アクセスから保護するために、特権昇格攻撃を防ぐ必要があります。 特権昇格攻撃を防ぐために、組織は最小特権アクセスを適用し、パスワードセキュリティのベストプラクティスに準拠し、多要素認証(MFA)を強制し、ソフトウェアを最新の状態に維持し、ネットワークトラフィックを監視し、定期的にペネトレーションテストを実行することが推奨されます。
ここでは、特権昇格とその仕組み、特権昇格攻撃の種類、組織が特権昇格攻撃を防ぐ6つの方法について、さらに詳しく説明します。
特権昇格とは?その仕組みとは?
特権昇格はサイバー攻撃の一種で、脅威アクターが組織のシステムやアプリケーション、ネットワーク内で自分の特権レベルを拡張しようとするものです。 特権昇格により、サイバー犯罪者は組織のセンシティブデータやシステムへのアクセスが可能になります。犯罪者らは、そのアクセスを使ってデータ操作や機密情報の窃盗、運用の妨害、詐欺行為、組織への恐喝、さらには組織データの漏洩やダークウェブへの流出などを実行できます。
特権昇格は、特権アクセス管理(PAM)が不十分であるために発生します。 初期アクセスを獲得したサイバー犯罪者は、特権の管理ミスやセキュリティの脆弱性、設定ミス、人為的なエラー、組織のシステム内の欠陥を見つけ出して悪用し、自分の特権を拡大させてさらなる不正アクセスを獲得します。 サイバー犯罪者は、同レベルの特権が与えられたアカウントへのアクセス範囲を拡大させたり、管理アカウントへのより高いレベルのアクセスを獲得して特権を昇格させようとしたりするのです。
特権昇格攻撃を防ぐ方法
特権昇格は検出しづらいことがあり、攻撃によってサイバー犯罪者にセンシティブデータを盗まれたり、組織の運用に支障をきたしたりする可能性があります。 特権昇格攻撃を防ぐために、組織は以下を実践することが求められます。
1. 最小特権アクセスを実践する
最小特権の原則 (PoLP) は、職務を遂行するために必要な情報やシステムへのネットワークアクセスだけをユーザーに与え、それ以上は与えないというサイバーセキュリティの概念です。 これにより、ユーザーは必要のないリソースにアクセスできなくなり、アクセスできるリソースでユーザーができることが制限されます。 最小特権アクセスは、組織の攻撃対象領域を縮小し、内部脅威を最小限に抑え、脅威アクターによる横移動を防ぐことで、データ侵害の影響を軽減するのに役立ちます。
最小特権アクセスを適用する最善の方法は、特権アクセスマネージャーを使用することです。特権アクセスマネージャーは、組織が特権アカウントを保護し、管理できるようにする一元化されたプラットフォームです。 特権アクセスマネージャーにより、組織はデータインフラ全体を完全に可視化できるようになります。 組織は、機密性の高いリソースにアクセスしているのは誰なのか、そのリソースがどのように使用されているかを確認できます。 特権アクセスマネージャーを使用すると、組織は特権セッションの監視やアカウントの特権の決定、ジャストインタイムアクセスの強制、および定期的な特権の監査を実行できます。
2. パスワードセキュリティのベストプラクティスに従う
サイバー犯罪者による不正アクセスから特権アカウントを保護するために、組織はパスワードセキュリティのベストプラクティスに従う必要があります。 サイバー犯罪者は、パスワード攻撃を実行して脆弱で使い回しされたパスワードを推測することで、自分の特権を昇格させようとします。 組織は、特権アカウントを保護するために、強力で独自のパスワードを使用する必要があります。 強力で独自のパスワードは長くて複雑なものであるため、サイバー犯罪者はパスワードの解読や、特権アカウントの侵害を容易には実行できなくなります。
特権アカウントが強力で独自のパスワードで確実に保護されるためには、組織はパスワードマネージャーに投資すると良いでしょう。 エンタープライズ向けのパスワードマネージャーは、従業員のパスワードをデジタルで暗号化されたボルトに安全に保存し、管理するツールです。 デジタルボルトは複数の暗号化レイヤーで保護されており、強力なマスターパスワードでのみアクセスできます。 パスワードマネージャーを使用すると、管理者は従業員のパスワード慣行を確認でき、強力なパスワードの使用を強制できます。 特権アクセスマネージャーには、組織が特権アカウントの安全を容易に管理できるパスワード管理機能を備えたものが数多くあります。
3. MFAの使用を強制する
多要素認証(MFA)は、ユーザーが組織のネットワークにアクセスする際に、追加の認証レイヤーの提供が求められるセキュリティプロトコルです。 MFAが有効になっている場合、ユーザーは少なくとも2つの異なる認証形式を提供する必要があります。
組織は、アクセスが許可されていることを保証することによって特権アカウントに追加のセキュリティレイヤーを追加するために、MFAを強制することが求められます。 万が一、特権アカウントのログイン認証情報が侵害された場合でも、サイバー犯罪者は必要とされる追加の認証を提供できないため、そのアカウントにアクセスすることはできません。
4. 組織のソフトウェアを最新の状態に保つ
サイバー犯罪者は、古いソフトウェアのセキュリティの脆弱性を悪用することがよくあります。 組織は、定期的にソフトウェアを最新の状態に保つことでバグや欠陥にパッチを適用し、より適切な保護を提供するセキュリティ機能を追加する必要があります。 ソフトウェアの定期的な更新は、サイバー犯罪者がセキュリティの脆弱性を悪用し、組織のネットワークへの初期アクセスを獲得して自分の特権を昇格させるのを防ぐのに役立ちます。
5. ネットワークトラフィックを監視する
特権昇格攻撃を検出するために、組織はネットワークトラフィックに異常なトラフィックや不審なユーザー行動がないか監視する必要があります。 ネットワークトラフィックを監視することで、組織は特権昇格を早期に検出し、それを修復するための迅速な行動を取ることができます。 特権アクセスマネージャーを使用すると、組織はネットワークに誰がアクセスしているかを確認し、特権セッションを監視することが可能になります。 組織のネットワークのセキュリティを向上させるために、組織はネットワークトラフィックの監視や管理を簡単に実行するためのセグメントを作成すると良いでしょう。
6. 定期的にペネトレーションテストを実行する
ペネトレーションテスト(ペンテスト)は、組織のシステムに対するサイバー攻撃をシミュレートするセキュリティ演習です。 このテストは、組織のセキュリティの強度を評価し、サイバー犯罪者が悪用可能なセキュリティの脆弱性を特定するのに役立ちます。 組織は定期的にペネトレーションテストを実行し、セキュリティの脆弱性を特定してそれらを修復するための解決策を開発することで、セキュリティ向上の手がかりとすることが求められます。 このことは、特権昇格に利用されそうな経路を発見し、削除するのに役立ちます。
特権昇格攻撃で使用される手法
特権昇格は、水平型と垂直型の2つに分類されます。 どちらの手法も組織のリソースへの不正アクセスを獲得しようとするものですが、サイバー犯罪者が取得を試みる特権のレベルと、その実行方法には違いがあります。
水平型の特権昇格
水平型の特権昇格は、サイバー犯罪者が最初に侵害したアカウントと同様の特権を持つリソースや機能へのアクセスを得ようとする場合に発生します。 サイバー犯罪者が水平型の特権昇格を実行する狙いは、自分の特権レベルを昇格させることなく、他のユーザーのデータ、リソース、機能にアクセスすることです。 水平型の特権昇格を利用するサイバー犯罪者は、標的を絞ったユーザーからデータを盗んだり、ネットワークの他のエリアにアクセスしたりすることができます。
水平型の特権昇格で使用される一般的な攻撃ベクターには、次のようなものがあります。
- パスワード攻撃:アカウントのパスワードを推測してアクセスを試みるサイバー攻撃の一種。 サイバー犯罪者は、ブルートフォースやキーロガー、パスワードスプレー、辞書攻撃など、あらゆる種類のパスワード攻撃をよく使用します。
- セッションハイジャック:サイバー犯罪者がブラウザのクッキーを盗んでユーザーのインターネットセッションを乗っ取る、中間者(MITM)攻撃の一種。 セッションがハイジャックされると、サイバー犯罪者はそのセッションを使用して被害者のリソースにアクセスできます。
- パス・ザ・ハッシュ:サイバー犯罪者がハッシュ化されたパスワードを盗み、それを使用してネットワークやシステムの認証プロトコルをバイパスする、サイバー攻撃の一種。 これにより、サイバー犯罪者はネットワークを横移動し、他の特権アカウントにアクセスできるようになります。
垂直型の特権昇格
垂直型の特権昇格は、サイバー犯罪者がユーザーやアプリケーション、システムが既に持つ特権よりも自分の特権を昇格させ、標準的なユーザーアカウントを特権管理アカウントに移行させるなどのように、低レベルのアクセスから高レベルのアクセスへと拡張させようとするものです。 垂直型の特権昇格の狙いは、ネットワークに対する高レベルの制御を獲得することです。 サイバー犯罪者がネットワークを制御すると、部外秘のリソースにアクセスすることが可能になり、設定の変更や悪意のあるソフトウェアのインストール、新しいユーザーアカウントの作成などの管理者のアクションを実行できます。
垂直型の特権昇格で使用される一般的な攻撃ベクターには、次のようなものがあります。
- ソーシャルエンジニアリング:脅威アクターがユーザーに個人情報を明らかにさせるために使用する、心理操作の一種。 よく発生するソーシャルエンジニアリングの手口には、フィッシングなどがあります。 フィッシングは、サイバー犯罪者が被害者の知り合いになりすまし、情報を明らかにさせようと仕向けることで発生します。
- 設定ミス:ネットワークの設定ミスに見受けられるエラーや欠陥。 手動設定を必要とするシステムは、適切に設定されていない場合、設定が脆弱でセキュリティ制御が異質なものとなることがよくあります。 サイバー犯罪者は、ネットワークの設定ミスを探して悪用し、自分の特権を昇格させるのです。
- 古いソフトウェア:古いソフトウェアに存在し、サイバー犯罪者が悪用して不正アクセスを獲得する脆弱性。 多くのソフトウェアには、サイバー犯罪者が悪用するバグや欠陥にパッチを適用するアップデートが定期的に実行されます。 しかし、古いソフトウェアを稼働させていると、サイバー犯罪者に不正アクセスを獲得され、特権を昇格させることを可能にしてしまいます。
まとめ:Keeper®を使用して特権昇格攻撃を防ぎましょう
特権昇格攻撃を防ぐ最善の方法は、特権アクセスマネージャーを使用することです。 特権アクセスマネージャーは、組織が最小特権アクセスを適用し、データインフラストラクチャ全体を完全に可視化し、ネットワークへのアクセスを制御するのに役立ちます。
KeeperPAMは、Keeperエンタープライズパスワードマネージャー(KPM)、Keeper シークレットマネージャー(KSM)、そしてKeeperコネクションマネージャー(KCM)を組み合わせた、ゼロトラスト、ゼロ知識の特権アクセス管理ソリューションです。 KeeperPAMを使用することで、組織はパスワードや認証情報、シークレット、特権、リモートアクセスを全て1つのプラットフォームで保護できます。 KeeperPAMは、組織のネットワークにいるすべての特権ユーザーとデバイスに対する完全な可視性、セキュリティ、制御を可能にします。