編集部からのお知らせ
新着記事まとめは「AIトレンド」
推奨:「NTT再編」関連の記事まとめPDF

ロシア国家関与のサイバーアクター、多要素認証と「Windows」の脆弱性悪用--FBIとCISAが警告

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2022-03-17 13:16

 ロシア政府の支援を受けたハッカーが、多要素認証(MFA)を迂回(うかい)した上で、「Windows 10」に潜むプリンタースプーラーの脆弱性を悪用するという巧妙な手法を用い、ネットワークや、価値の高いドメインアカウントを侵害している。目的は、被害者のクラウドや電子メールにアクセスすることだ。

 米連邦捜査局(FBI)と米サイバーセキュリティ・インフラセキュリティ庁(CISA)は米国時間3月15日、ロシア政府の支援を受けたハッカーグループの活動に関する警告を発出した。こうした活動は、ロシアによるウクライナへの軍事侵攻に関連するサイバー活動について、一連の警告が発出される前から行われている。

 ハッカーは少なくとも2021年5月に、非政府機関(NGO)のネットワークを侵害する目的で、MFAソリューションに関わるデフォルト設定の問題と、Windows 10の「PrintNightmare」脆弱性(CVE-2021-34481)を組み合わせていた。

 Microsoftは、Windows 10が抱えていたこの特権昇格の問題に対するパッチを2021年8月に公開している。攻撃者はいったんネットワーク内に侵入した場合、この問題を悪用してWindows 10マシンで新たなアカウントを作成できるようになる。

 このNGOの事例では、強度の弱いパスワードが使用されていたため、攻撃者はパスワード推測攻撃で初期アクセスの認証情報を取得したようだ。さらに攻撃者は、Cisco Systems傘下のDuo Securityのデフォルト設定で休眠中のアカウントに対して新規デバイスを登録できる点を利用していた。

 CISAの警告には、「ロシア政府の支援を受けたサイバー犯罪者は、不正取得した認証情報と、標的とする組織が利用しているDuo MFAの新規デバイス登録機能を悪用して、この組織に対する初期アクセスを獲得した。サイバー犯罪者は総当たりのパスワード類推攻撃で認証情報を取得しており、簡単で予測可能なパスワードを用いているアカウントにアクセスすることができた」と書かれている。

 攻撃者はアカウントへの侵入に成功した後、特権昇格の脆弱性PrintNightmareを悪用し、より高いレベルの管理者権限を獲得した上で、MFAを「実質的に」無効化する変更を実施した。

 CISAは、「この変更によって、MFAサービスはMFAによるログインを認証するためのサーバーに接続できなくなった。そして、Windows版DuoのデフォルトポリシーではMFAサーバーに到達不能である場合、『フェールオープン』するようになっているため、アクティブドメインアカウントに対するMFAが実質的に無効化された」と説明している。

 さらに、この「フェールオープン」の問題はDuoの製品に限った話ではないとCISAは指摘した。

 その後、攻撃者らはより価値の高いアカウントに対してこの操作を繰り返した。彼らはMFAを無効にした後、非管理者ユーザーとして標的組織のVPNに認証し、Windowsのドメインコントローラーに対するRDP接続を確立した。さらに攻撃者は、他のドメインアカウントの認証情報を窃取し、MFAの設定ファイルを変更することで、新たに取得したアカウントのMFAを迂回できるようにした。

 「これらの侵害されたアカウントをMFAを適用せず利用し、ロシア国家の支援を受けたサイバーアクターは、被害者のクラウドストレージと電子メールアカウントへとラテラルに動き、望ましいコンテンツにアクセスすることができた」とCISAは説明した。

 CISAはMFAの実装や、それ以外に関する複数の緩和策を概説している。MFA関連の回避策には以下が挙げられている。

  • すべてのユーザーにMFAを適用する。組織は導入に先立って、「フェールオープン」や再登録のシナリオから保護する上で、設定ポリシーをレビューしておく必要がある。
  • ログイン試行の失敗が繰り返される場合に対応するタイムアウトやロックアウトの機能を導入する。
  • 非アクティブなアカウントを「Active Directory」とMFAシステム全体で一様に必ず無効にする。
  • ソフトウェアをアップデートする。また、特にインターネットに公開されている機器へのリモートコード実行(RCE)やDoS(サービス拒否)が可能になる重大で高レベルの脆弱性など、既知の悪用されている脆弱性のパッチ適用の優先度を高める。
  • サービスアカウント、管理者アカウント、ドメイン管理アカウントなどすべてのアカウントに強力でユニークなパスワードを求める。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]