8. 6/27/2022 8
Tom Gillis
SVP/GM – NW and Advanced
Security Business Group, VMware
Vasu Jakkal
Corporate VP, Microsoft Security,
Compliance and Identity
Katie Nickels
Certified Instructor and Director of
Intelligence,
Jeetu Patel
EVP and GM, Security and
Collaboration, Cisco
Keynote
9. 6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 9
The Five Most Dangerous New Attack
Techniques
1. Living Off “Cloud“
2. nGrock(エングロック)
3. 多要素認証の設定不備
4. バックアップは無防備になりがち
5. Pegasus
10. 6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 10
Jeetu Patel
Executive VP and GM, Security and Collaboration
写真:https://twitter.com/RSAConference/status/1533947754497527808/photo/1
What Do We Owe One Another in the
Cybersecurity Ecosystem?
「エコシステムの中では誰もがインサイダーになる」
• APIを用いた相互接続にはセキュリティ上の課題がつきまとう
• エコシステムを構築するため、影響度が高い
• 56%のインシデントは悪意のない従業員によってもたらされる
• ゼロトラストによる最小限の人に特権アクセスを確保する
• 革新的なアーキテクチャーが必要。とにかく管理を簡素化
11. 6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 11
写真:https://twitter.com/RSAConference/status/1533953576795459584?s=20&t=aivQrmn6pJfMqz1FFKcrig
Tom Gillis
SVP/GM – NW and Advanced Security Business Group
The Next Disruption
Security Beyond the Perimeter and Endpoint
「境界とエンドポイントという考え方はもう古い」
• ユーザー、アプリケーション、インフラがどういうやり取りをして
いるかを可視化する必要がある。
• 環境寄生型の攻撃、Living Off the Land
• 昨今のクラウド型のアプリはマイクロサービスがAPIを使って
相互作用している。
• クラウド型のセキュリティ運用サービスは効率的
12. 6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 12
Innovation, Ingenuity, and Inclusivity: The
Future of Security is Now
「将来のセキュリティへのAIの活用」
• 1秒間に921件の攻撃を観測。2020年の2倍の数値
• 3時間程度で攻撃者はユーザーにアクセスしたうえで
企業のネットワークの探索活動を開始できる
• 短時間勝負が防御側に求められるが、AIの活用は効果的
• AIの能力を発揮するには、データが必要
• データは、セキュリティデータだけではなく、業界ごとの
文脈に関する知見も必要
Vasu Jakkal
Corporate VP, Microsoft Security, Compliance and
Identity
28. コロニアルパイプライン社へのランサムウェア
インパクトを与えた攻撃その1
6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 28
o 2021年5月にガソリン、ディーゼル、家庭用暖房油、ジェッ
ト燃料、軍事物資など東海岸の約45%の燃料を供給するコ
ロニアルパイプライン社がランサムウェアの被害を受けた。
o 1週間の操業停止。供給への不安から、ガソリンパニック買
いが発生。価格が10%値上がりした。国家的な問題として
バイデン大統領はゼロトラストを含めた仕組みの導入につい
て大統領令を発令した。
o 流入経路はパスワードのみで運用されていたVPN。
フィッシングなどにより、情報が流出した可能性が高い。
o コロニアルパイプライン社は、身代金要求にこたえ、
440万ドル(約5億円)を支払った。
Source:https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/
29. インパクトを与えた攻撃その2
6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 29
o 正規の製品アップデートにマルウェアが仕込まれ、広範囲に
拡散。インストールを企業のネットワークに裏口(バックド
ア)が作られ容易に侵入されてしまう。
o 米連邦機関、主要ハイテク企業、病院などが標的となった。
緊急パッチの配布にて対応を行ったが、政府機関を含む100
弱の組織が被害を受けた。
o ロシアの支援を受ける攻撃集団の関与が疑われている。
Source:https://www.zdnet.com/article/love-hybrid-working-spare-a-thought-for-the-it-department/
Solarwinds社へのサプライチェーン攻撃
30. ウクライナへの攻撃
6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 30
o ロシア政府のハッカーがアメリカの衛星通信会社
Viasatを標的としたしハッキングを行いサービス停止に
追い込む。これにより、ウクライナ軍は指揮統制に
使用していた通信手段を失うこととなる。
o Mandiant社によれば、この攻撃は単発で、関連する地上で
の作戦遂行にはあまり活かされなかった。
o その他、ウクライナ人の端末を盗み、フェイクニュースを流
すなどを行っているが、ウクライナ人がすぐさま盗難を政府
に報告しているためあまり混乱はない。
o ウクライナ政府は物理的な攻撃、サイバー攻撃からネット
ワーク断を余儀なくされているが、迅速な復旧能力を発揮し
ている。日頃の訓練の賜物。
Source:https://www.technologyreview.com/2022/05/10/1051973/russia-hack-viasat-satellite-ukraine-
invasion/
31. Key Findings
6/27/2022 All Copyrights reserved by Nissho Electronics USA Corp 31
• 攻撃ツールのコモディティ化が目立つ
新たな攻撃手法、攻撃シナリオはもちろんあるが、それ以前にベーシックな攻撃が観測されている傾向。
政治的な背景がそれを加速させている。いまや当たり前になりつつあるゼロトラストネットワークアクセスや、
多要素認証などの対策の実装が急がれる。
• 攻撃先がクラウドに向いている
企業のインフラがクラウドにシフトしている背景から、攻撃者もクラウドをターゲットにしている。
クラウド基盤は従来のIT基盤と異なるため、クラウドに特化した対策手法を講じることが必要。
• セキュリティ業務の効率化がカギ
セキュリティ人材不足が深刻化している。業務の効率化も重要ではあるが増え続ける攻撃に対して
AIによる対処や自動化が重要。AIをより効果的にするには、データ収集がベンダーの課題。
RSAカンファレンスは、1991年から行われている世界最大級のセキュリティイベントです。場所はサンフランシスコのモスコーンセンターにて行われ、21,000名の登録がありました。
毎年テーマが発表されていますが、今回のテーマはTransformです。
RSAのCEOであるRohit Ghai(ローヒットギャイ)氏は講演の中で、インフラ中心のセキュリティから、「ID、情報の正確性」を中心としたセキュリティに変身していきましょうというメッセージを残しています。さらに、進んでいるDXをセキュリティが邪魔をするのではなく、世の中のDXの流れに追随してセキュリティも変化していくべきという強いメッセージでした。
RSA Conference 2022: Cybersecurity Is Now In ‘Fast-Forward’ Mode (crn.com)
昨今の攻撃トレンドについて、SANS社が講演を行っていました。
SANSは米国内でサイバーセキュリティのトレーニングなどを提供している企業です。そのSANSが、最新の攻撃手法について5つ紹介しています。
一つ目は、Living Off The Land攻撃という攻撃についてです。Living Off The Land攻撃というのは、Windowsの標準ツールであるマクロやPowerShellを使ってネットワーク内で悪さをするプログラムです。標準のツールなので、一般的なセキュリティ製品では、これを発見、対処することが困難です。この攻撃は、20年前からオンプレミスの環境では展開されており、新たな手法ではありません。しかしながら、その技術が企業のクラウド内でも適用されてきています。「Living Off The Cloud」と紹介されていました。
2つ目は、nGrok(エングロック)です。これは、社内の開発環境を外部から簡単にアクセスできるようにするポートフォワーディングのようなサービスです。これを悪用した攻撃が増えています。攻撃者がメールなどでユーザーにリンクを送付し、このサービスを使ってユーザーからFWをバイパスするためのトンネルを張らせます。これにより、攻撃者は、企業の社内環境に入り込んできます。
3つ目、4つ目は設定不備によるものや、運用上気を付けておくべきという内容なので割愛をさせていただきます。
最後に5つ目は、Pegasusです。Pegasusは、スマホのアプリの脆弱性を利用したマルウェアです。I messageの脆弱性を悪用した攻撃で、スマホに全く触れていないのにPegasusのコードが埋め込まれることがあることを確認しています。このコードが埋め込まれたスマホからはあらゆる情報が抜かれます。主に著名な政治家が狙われています。対応策としては頻繁にパッチがリリースされているため、常に最新のパッチを当てることを意識する必要があります。
Pegasusの話題については、ほかの講演でも注意喚起がされており、1日に1回必ずスマホをリブートすることが推奨されていました。
‐‐‐‐
※時間があるときは、3つ目4つ目も紹介する。
3つ目は、多要素認証の設定不備です。ロシアの国家機関が大規模なブルートフォースを仕掛け、ランダムなパスワードを生成。企業のネットワークへの侵入しました。管理者は、多要素認証サービスでそのアカウントを無効にすることで、それ以上の侵入を防ぐことに成功しました。しかし、残念ながらADにてそのアカウントを無効にするのを忘れていました。そのため、攻撃者は、ADから多要素認証サービスを無効化し、悪意のあるアカウントを生成することで実質的に多要素認証を迂回することができました。多要素認証はいまや企業にとって必須といわれていますので、それを否定することは誤っています。ここで得られる教訓は、その運用方法、導入方法には注意が必要です。
4つ目は、具体的な話ではありませんが、バックアップへのセキュリティは無防備になりがちという話です。バックアップのシステムにはエンドポイントセキュリティもなければ、高度なインスペクションも対象外です。データ量が多いためです。ただし、保有する情報には重要情報が含まれます。
ネットワーク的なアクセスが制限されているため、攻撃者に狙われる可能性は現時点では低いですが、今後注意は必要です。
5社目は、Lightspinです。一般的に、クラウド環境を迅速に構築するためにIaC(Infrastructure as Code:コードで書かれた設計書)を作成します。Lightspinは、これをスキャンします。それによりマップを作成し、その環境を構築した場合に、リスクがどれくらいあるのかを分析します。リスクがある場合、関連する脆弱性情報を開示の上、どの経路上でそれが起こりえるのかを明示してくれます。設計ミスもここで特定できます。脅威に関するレポートを表示する場合は、脆弱性が企業に与える影響に基づき優先順位付けをしたうえで提示することが出来ます。結果的に、解析者のノイズを95%近く削減することが出来ます。また、重要度の高い脆弱性について、パッチが公開されている場合には、配信されるパッチをワンクリックで適用することもできます。