アイデンティティベースの攻撃とは
アイデンティティベースの攻撃は、ユーザー名、パスワード、認証トークンなどのユーザー認証情報を標的として、システムやデータへの不正アクセスを獲得するサイバー攻撃です。フィッシング、クレデンシャルスタッフィング、MFA(多要素認証)バイパス、セッションハイジャックなどの方法で、アイデンティティセキュリティの脆弱性を悪用して、攻撃者は正当なユーザーになりすましてネットワーク内をラテラルムーブメントします。アイデンティティ攻撃が増加している理由としては、敵対的AIの使用、企業のクラウドベースのアイデンティティプロバイダーへの移行、SaaSアプリケーションの導入の増加などが挙げられます。MITRE ATT&CK戦術のトップ10のうち5つはアイデンティティベースです。
残念ながら、アイデンティティ攻撃を検知するのは非常に困難です。正規ユーザーの認証情報が侵害され、攻撃者がそのユーザーになりすましている場合、ユーザーの通常の振る舞いとハッカーの振る舞いを、従来型のセキュリティ対策とツールを使用して区別することは、多くの場合、非常に困難です。
アイデンティティ脅威の状況をよりよく理解するために、よくある8種類のアイデンティティベースの攻撃とその動作方法について説明しましょう。
アイデンティティ保護戦略策定の完全ガイド
レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。
今すぐダウンロード8種類のアイデンティティベースの攻撃
よく使用されるアイデンティティベースの攻撃とは
1. フィッシングとソーシャルエンジニアリング
フィッシングはアイデンティティベースの攻撃でよく使用される方法の1つで、サイバー犯罪者が被害者を操ってログイン認証情報や財務データなどの機密情報を漏洩させます。さまざまな形式の攻撃があり、例えば、攻撃者が正当な組織になりすますEメールフィッシング、特定の個人を標的としてパーソナライズしたメッセージを送信するスピアフィッシング、著名な経営幹部を標的としたホエーリングなどがあります。その亜種として、攻撃者が電話をかけて情報を引き出すビッシング(音声フィッシング)や、テキストメッセージを利用して被害者を騙すスミッシング( SMSフィッシング)などがあります。
緊急性、恐怖、なりすましなどのソーシャルエンジニアリング戦術はフィッシングの効果を高め、従来のセキュリティ対策では対処できないことが少なくありません。フィッシング攻撃に対処するためには、Eメールのフィルタリング、従業員のセキュリティ意識向上トレーニング、および高度なアイデンティティ検証手法( MFA(多要素認証)や振る舞い分析など)を実装する必要があります。
2. クレデンシャルスタッフィング
クレデンシャルスタッフィングとは、サイバー犯罪者が、あるシステムから盗み出したログイン用の認証情報を使用して無関係のシステムにアクセスしようとするサイバー攻撃です。
クレデンシャルスタッフィングの攻撃パスは、比較的単純です。まず、攻撃者は盗んだアカウントの認証情報を利用するか、侵害された認証情報をダークウェブで購入します。認証情報を手に入れた攻撃者は、次にボットネットまたはその他の自動化ツールをセットアップして、関連のない複数アカウントへの同時ログインを試行します。ボットは次に、セカンダリサービスまたはアカウントのいずれかでアクセスが許可されたかを確認します。ログインの試行が成功すると、攻撃者は個人データ、保存されているクレジットカード情報、銀行の詳細などの追加情報を収集します。
3. ゴールデンチケット攻撃
ゴールデンチケット攻撃とは、Microsoft Active Directory (AD) に格納されているユーザーデータにアクセスすることで、組織のドメインにほぼ無制限にアクセスしようとする攻撃です。この攻撃はADへのアクセスに使用されるKerberosアイデンティティ認証プロトコルの弱点を悪用し、攻撃者が通常の認証をバイパスできるようにします。
攻撃者がゴールデンチケット攻撃を実行するには、完全修飾ドメイン名、ドメインのセキュリティ識別子、KRBTGTパスワードハッシュ、アクセス対象アカウントのユーザー名が必要です。
4. Kerberoasting
Kerberoastingは、AD内部にあるサービスアカウントのパスワードをクラッキングしようとするポストエクスプロイト攻撃手法です。
このような攻撃では、攻撃者はSPN(サービスプリンシパル名)を持つアカウントユーザーになりすまし、暗号化されたパスワード(Kerberos)を含むチケットをリクエストします(SPNとは、AD内部でサービスとユーザーアカウントを結ぶ属性です)。攻撃者は、オフライン状態でパスワードハッシュを解読します。このとき、ブルートフォース技術がよく使用されます。
サービスアカウントの平文認証情報が公開されると、攻撃者はユーザー認証情報を入手し、アカウント所有者になりすますことができるようになります。
5. 中間者 (MitM) 攻撃
中間者 (MitM) 攻撃は、攻撃者が2人のユーザー、2つのシステム、または1人のユーザーと1つのシステムの間の通信を盗聴するタイプのサイバー攻撃です。
MITM攻撃の目的は、個人データ、パスワード、または銀行の詳細情報を収集したり、被害者に何らかのアクションを起こさせるように仕向けたりする(ログイン認証情報の変更、トランザクションの完了、資金移動の開始など)ことです。
6. Pass the Hash攻撃
Pass the hash (PtH) は、攻撃者が「ハッシュされた」ユーザー認証情報を盗み、それを使用して同じネットワーク上に新しいユーザーセッションを作成するタイプの攻撃です。
通常、攻撃者はソーシャルエンジニアリングの手法を通じてネットワークにアクセスします。攻撃者はユーザーのアカウントにアクセスすると、さまざまなツールと手法を使用して、アクティブなメモリをスクレイピングして、ハッシュにつながるデータを入手します。
1つまたは複数の有効なパスワードハッシュを手に入れた攻撃者は、システムへのフルアクセスを獲得して、ネットワークを横断するラテラルムーブメントが可能になります。攻撃者は、あるアプリケーションから次のアプリケーションへユーザーを偽装する際に、ハッシュハーベスティングを実行することがよくあります。システム全体に追加のハッシュを蓄積することで、アクセス可能なネットワーク領域を広げ、アカウント権限を追加し、特権アカウントを標的にして、バックドアやその他のゲートウェイを設定して将来アクセスできるようにします。
7. パスワードスプレー攻撃
パスワードスプレー攻撃は、ハッカーが複数のアカウントに対して1つの共通パスワードを使用するというブルートフォース手法です。
攻撃者は最初にユーザー名のリストを取得し、すべてのユーザー名に対して同じパスワードを使用してログインを試行します。攻撃者は、新しいパスワードでプロセスを繰り返し、標的の認証システムが侵害されてアカウントとシステムへのアクセスが可能になるまで続けます。
8. シルバーチケット攻撃
シルバーチケットは、攻撃者がアカウントのパスワードを盗んだときに作成されることが多い偽造認証チケットです。シルバーチケット攻撃は、この認証を使用して、サービスチケットを許可するチケットを偽造します。偽造したサービスチケットは暗号化され、シルバーチケット攻撃の標的となった特定のサービスのリソースにアクセスできます。
攻撃者は、偽造されたシルバーチケットを取得すると、標的のローカルシステムとしてコードを実行できます。その後、ローカルホスト上で権限を昇格させ、侵害した環境内でラテラルムーブメントを開始し、さらにはゴールデンチケットの作成まで行います。これにより、最初の標的だったサービスよりも多くの対象にアクセスできるようになります。これはサイバーセキュリティ防止対策を回避する戦術です。
アイデンティティベースの攻撃から保護するためのベストプラクティス
アイデンティティベースの攻撃から防御するには、従来の認証方法を超えて、セキュリティ対策を階層化した方法を実装する必要があります。次に、アイデンティティセキュリティを強化するための重要なベストプラクティスを4つ示します。
あらゆる場所にMFA(多要素認証)を実装する
- 少なくとも2つの認証要素(パスワードに加え、生体認証やハードウェアトークンなど)が必要です。
- FIDO2セキュリティキーなどフィッシング耐性のあるMFA(多要素認証)を使用して、認証情報の窃取を防ぎます。
- SMSベースのMFA(多要素認証)は、SIMスワッピングによって回避されるため、利用しないようにします。
ゼロトラストセキュリティモデルを導入する
- 継続的なアイデンティティ検証を実施したうえで、リソースへのアクセスを許可します。
- 最小特権アクセスを実装して、ユーザーの役割に必要な権限のみを付与します。
- マイクロセグメンテーションを使用して、認証情報侵害後のラテラルムーブメントを防ぎます。
AIを活用したアイデンティティ脅威検知を使用する
- 振る舞い分析を展開して、異常なログイン試行や認証情報の不正使用を検知します。
- 失敗したログインのパターン、場所の異常、権限昇格をモニタリングします。
- 強制ログアウトやMFA(多要素認証)の再プロンプトなど、リアルタイムのアイデンティティ脅威対応を自動化します。
パスワードレス認証でパスワードへの依存を減らす
- 生体認証(指紋や顔認識など)を実装します。
- ハードウェアセキュリティキーやSSO(シングルサインオン)ソリューションを使用して、セキュリティを強化します。
- パスキー認証を実施して、脆弱なパスワードやパスワードの再利用に伴うリスクを排除します。
以上のベストプラクティスを組み合わせることで、アイデンティティベースの攻撃をプロアクティブに緩和し、認証情報侵害のリスクを軽減できます。
AIを活用したアイデンティティセキュリティ:Falcon Identity Protectionが攻撃を防ぐ仕組み
盗まれた認証情報、脆弱な認証方法、アイデンティティセキュリティギャップのエクスプロイトが相変わらず続いているため、従来のセキュリティ対策だけではアイデンティティベースの攻撃を阻止できなくなっています。CrowdStrike Falcon® Identity Protectionは、アイデンティティ脅威に対するリアルタイムの可視性、検知、対応を備えており、攻撃者によるユーザーアカウントの侵害をプロアクティブに阻止します。AIを活用した振る舞い分析、継続的なアイデンティティモニタリング、リスクベースの認証により、Falcon Identity Protectionは不正アクセスの試み、ラテラルムーブメント、MFA(多要素認証)バイパス手法をリアルタイムに検知します。また、既存のIdP(アイデンティティプロバイダー)とシームレスに統合し、ゼロトラストの原則を適用することで、重要なシステムへのアクセスを検証済みのユーザーに限定できます。
さらに、CrowdStrike Falcon® Shieldは、先手を打ってポリシーを適用する、セッションをモニタリングする、攻撃をアクティブに妨害するといった対策で、権限の昇格、ラテラルムーブメントの実行、環境内での永続性確立を防ぎます。Falcon Identity ProtectionとFalcon Shieldを組み合わせることで、エンドツーエンドのアイデンティティセキュリティ戦略を策定して、あらゆる段階でアイデンティティベースの攻撃に対処し、認証情報の盗難、悪用、エクスプロイトを未然に防ぐことができます。
アイデンティティ攻撃に関するFAQ
Q:アイデンティティベースの攻撃とは何ですか?
A:アイデンティティベースの攻撃は、ユーザー名、パスワード、認証トークンなどのユーザー認証情報を標的として、システムやデータへの不正アクセスを獲得するサイバー攻撃です。フィッシング、クレデンシャルスタッフィング、MFA(多要素認証)バイパス、セッションハイジャックなどの方法で、アイデンティティセキュリティの脆弱性を悪用し、正当なユーザーになりすまして、ネットワーク内をラテラルムーブメントします。
Q:アイデンティティ脅威の例にはどのようなものがありますか?
A:よく使用されるアイデンティティベースの攻撃には、ソーシャルエンジニアリング、フィッシング、クレデンシャルスタッフィング、ゴールデンチケット攻撃、Kerberos攻撃、Pass the Hash攻撃、パスワードスプレー攻撃などがあります。
Q:アイデンティティを保護するための最善の方法は何ですか?
A:アイデンティティベースの攻撃から防御するためのベストプラクティスとして、MFA(多要素認証)の実装、ゼロトラストセキュリティモデルの導入、AIを活用した脅威検知の使用、パスワードレス認証によるパスワードへの依存の軽減などがあります。
ライアン・テリーは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、アイデンティティセキュリティを担当しています。サイバーセキュリティの分野で10年以上のプロダクトマーケティングの経験を持ち、以前はSymantec、Proofpoint、Oktaに勤務していました。ブリガムヤング大学で経営学修士号 (MBA) を取得しています。
