アセットの不正公開防止と修復
最新のレポート「Defender's Advantage:防御側の優位性 - サイバー・スナップショット」の記事「インターネットに接続されている一般的なエクスプロイト経路を検知する」において、Mandiantは攻撃の経路となり得るインターネット上で不正に公開されているパスを特定しました。このブログでは、外部資産のセキュリティ強化に関するMandiantの推奨事項をまとめています。
外部アセットの探索、リストアップ、不正公開の検知
攻撃者は、脆弱な外部アセットや 設定ミスをエントリポイント(初期侵入ベクター)として利用し、偵察、水平展開、アクセスの維持を図り、ミッションを達成しようとします。外部アセットを悪用する最初の侵害を効果的に阻止するために、組織は、インターネットに接続されたデバイス、アプリケーション、ネットワークサービスを特定し、網羅してリスト化し、セキュリティを強化する必要があります。
外部アセットの特定とリストアップについては、以下を考慮する必要があります。
- 外部に焦点を当てた脆弱性評価または侵入テスト
- 既存のテクノロジーベンダーが、既知の脆弱性に対す るパッチまたは更新を要求していることを確認
- 新規テクノロジーベンダへの要求に、既知の脆弱性 のパッチまたはアップデートを義務付けることを追加
- サードパーティの脆弱性スキャン技術や外部の攻撃対象領域管理ソリューションを活用
上記のすべての検討事項は、潜在的なインシデントの発生を軽減するために、 優先的に対応すべき推奨事項を提示します。
Mandiant では、CVSS スコアが 8 を超える CVE や、実際に悪用されている CVE など、重要で深刻度の高い問題に対して優先的に改善活動を行うことを推奨しています。しかし、セキュリティチームは、既知のCVEを悪用する際に一緒に使われる可能性のある、重要度の低い脆弱性、設定ミス、不正公開を認識し監視することが重要です。 重要度の低い問題の例としては、公開されたサービス、バイパス可能な二要素認証、アプリケーションの情報漏えい、期限切れの(または期限切れ寸前の)証明書などが挙げられます。
組織の外部攻撃表面を即座に把握するには、Mandiant Advantage Attack Surface Management 無償版でお試しください。
不正に公開されたエントリーパスに対するハードニング
以下のガイダンスは、組織がインターネットに面したアセットに適用するためのハードニングの推奨事項を提供します。
公開されたバージョン管理リポジトリ
公開されたバージョン管理リポジトリは、一般的に公開Webサーバ上にあり、組織やアプリケーションに関連する機密ファイルやソースコードが含まれている可能性があります。
- 外部に面した IP 領域をスキャンし、アプリケーションと、当該アプリケーション/システムに必要なポート/プロトコルをインベントリに登録
- システム/アプリケーションに関する外部からのアクセス可能な情報を制限
- サーバから外部への水平展開ポートを制限(例:SMB、WMI、RDP)
- バージョン管理リポジトリにアクセスする管理者及びサービスアカウントのパスワードを定期的にローテーション
コード・リポジトリにおける潜在的な機密情報
オープンソースのコードリポジトリには、秘密情報や機密情報が含まれている可能性があります。ベストプラクティスとして、セキュリティチームは以下のことを継続的に実行する必要があります。
- 専門のツールまたはオープンソースのツールを使用して、コードリポジトリの機密情報をスキャン
- コードリポジトリの機密情報スキャンを実施(コミット前のフックを作成する)
- コードリポジトリのロギングを有効化
- コミット履歴をパージし、過去にコミットされたシークレットコードが削除されていることを確認
- すべてのユーザに対して多要素認証(MFA)を強制
- IPホワイトリストを作成し、コード・リポジトリへのアクセスが信頼できる場所からのものであることを確認
- ユーザが公開リポジトリを作成する機能を無効化
- ユーザが既存のリポジトリをコピーできないようにする
- 定期的なSASTとDASTのスキャン
乗っ取られやすいサブドメイン (T1584.001 - Compromise Infrastructure: Domains)
サードパーティのサービスをポイントするようにサブドメインを設定することは一般的に行われていますが、設定し忘れたサブドメインは、攻撃者に悪意のある手段で乗っ取られ、利用される可能性があります。以下のガイダンスは、セキュリティチームが強力なDNSの健全性を維持するために役立ちます。
- DNSレコードの監査
- Amass / Aquatone / Sublist3r
- DNSゾーンファイルから古くなったCNAMEレコードを削除
- サードパーティーサブドメインレコードの検査
- 一意のTXTレコードを作成
- インスタンス名のエントロピーを強制
- クライアントが名前を再要求することを禁止
- ワイルドカードDNSのリスニング
- サブドメインのプロビジョニングとデプロビジョニングプロセスの見直し
- 最初にインスタンスを作成し、次にサブドメインを作成し、それをインスタンスにポイント
- 最初にCNAMEレコードを削除し、次にインスタンスを削除
Microsoft Exchange の脆弱性
Mandiantは、2021年に公開されたMicrosoft Exchangeの脆弱性について詳しく報告しましたが、さらに詳細についてこちらで共有します。米国国土安全保障省サイバー、セキュリティ・インフラストラクチャー・セキュリティ庁(CISA)は、2021年に対策期限を設定しています。以下のガイダンスは、セキュリティチームがCISAのガイダンスを遵守するのに役立ちます。
- Exchange サーバーからのイグレスコマンドの制限
- HTTP/HTTPS/SMTP
- 内部通信経路の横展開ポートの制限
- SMB、WMI、RDP
- Exchange 権限アカウントの制限
- 組織管理、Exchange Trust Subsystem
- スプリットパーミッションの構成
S3バケットからの機密情報漏洩
S3 バケットに関する最も一般的な問題は、パブリックアクセスを許可する誤った設定と、不正なアクセスを許可するバケットポリシ ーの 2 つです。サイバー防御戦略の中で、以下のガイダンスを実施することで、安全なS3バケットを確保することができます。
- バケットポリシーを作成し、S3バケットへのアクセスをさらに制限
- HTTP通信を制限し、HTTPSのみを実施
- S3バージョニングとMFA削除
- サーバーアクセスおよびオブジェクトレベルのログを有効化
- S3ブロックの実装を検討する パブリックアクセス
- 公開されたS3バケットに機密情報がないかスキャン
ハードニングのためのさらなる推奨事項や、脅威検知のためのガイドについては、ホワイトペーパー「破壊的な攻撃を防御するための予防的な準備とハードニング」で詳述していますので、併せて参照ください。
関連リソース:
Defender's Advantage:防御側の優位性 - サイバー・スナップショット:
サイバー攻撃の最前線でMandiantが得た観察事項と現実に起きている攻撃に対峙した豊富な経験に基づき、サイバー防御に役立つ重要な知見をお届けするものです。レポートをダウンロードして、次の4つの重要分野に関する知見をぜひご覧ください。
- インターネットに接続されたアセットの脆弱性
- 運用テクノロジー(OT)とICSネットワークに対する脅威
- 企業合併/買収に伴うサイバー・セキュリティ・リスク
- 選挙や大規模イベントにおけるサイバー防御の課題と対策