「特権ID」管理不足がもたらす企業の甚大な被害 事例に学ぶ、組織内外からの攻撃に備える方法
実際の事例を見ていきましょう。
これは昨年発生した、アメリカの大手Integrated Resort(IR)事業者の例です。攻撃者はまず、ソーシャルエンジニアリング攻撃で、高い権限を持つユーザーのID・パスワードを入手しました。さらに、当該ユーザーのSNSプロフィールから得た情報を利用してヘルプデスクをだまし、MFA(多要素認証)をリセットして、当該ユーザーのIDを侵害することに成功しました。
その後、攻撃者は当該ユーザーになりすまして機密情報を盗み出したうえ、さらにランサムウェア攻撃によって数百台のサーバーを暗号化し、IR事業者の業務を停止に追い込んで、数億ドルの損害を与えました。
近年はクラウドサービスの台頭によって、企業・組織のユーザーが、ブラウザ上のWebアプリケーション(Webアプリ)経由で貴重な情報資産にアクセスするケースも増えています。最近の新たな攻撃手法としては、Webアプリにアクセスする際にブラウザが利用する、端末に保存されたCookie(クッキー)情報を狙った「クッキーハイジャック攻撃」があります。
クッキーには、Webアプリの認証無しでWebアプリへのアクセスを可能にする「セッショントークン」が含まれており、この情報を搾取することで、Webアプリ上で管理されている企業・組織の重要な情報資産にアクセスすることができます。昨年には、ID管理システムを提供する外資系大手事業者の顧客向けサポートシステムが侵害され、悪意を持った攻撃者が、顧客がアップロードした通信ログからクッキー情報を盗用し、顧客のネットワークやシステムへのアクセスを試みるというインシデントもありました。
企業が知るべき「特権IDの管理」に有効な方法とは
もし組織内で、特権IDの運用ポリシーや管理ポリシー自体が確立されていない場合は、そのポリシーを策定することが最初のステップとなります。システム等を導入する前であっても、特権IDの運用と管理に関わるポリシーを定義して利用者にその遵守を要求し、定期的に監査を実施することで、利用者に「監視されている」と意識づけすることができます。これにより、内部からの不正アクセスを予防する効果が期待できます。
ポリシーに盛り込む内容には、以下のような項目が考えられます。
• 特権IDのパスワード管理方法
• 特権ID・パスワードの利用手続き
• 特権IDを利用した操作履歴の保存期間と監査
• 特権ID利用者の定期的な棚卸し、など
無料会員登録はこちら
ログインはこちら