権限昇格攻撃を防ぐ方法？

アイデンティティとアクセス制御に注力しなければ、いずれ特権昇格攻撃の被害に遭うのは避けられません。悪意ある攻撃者は現在、従来とは全く異なる手法で活動しています。従来のセキュリティ対策は彼らには通用せず、従来のセキュリティ対策を容易に回避できます。強力なデータ保護戦略を確立し、そこから外側に向かって取り組むことが、特権昇格攻撃を防ぐ方法を学ぶための第一歩です。非人間的なアイデンティティは、サービスプリンシパル、ロール、アクセスキー、機能などを引き受けることができます。攻撃者が準備を整えれば、アイデンティティ、データ、権限を悪用することができます。

脅威アクターは、何日も、何週間も、何ヶ月もあなたの環境内に潜み続けることができ、あなたはそれに全く気付かないでしょう。彼らは機密データを暴露または漏洩させ、データ侵害が発生した時点で、サードパーティサービスプロバイダーから通知が来るまで、手遅れになっている可能性があります。

このガイドでは、特権昇格攻撃を防止する方法と、それらに対処する方法を学びます。

権限昇格攻撃とは？

最も単純な意味で、特権昇格攻撃とは、敵対者がアカウントの特権を昇格させることです。

これは、脅威アクターがシステムやネットワークに対する認可されたアクセス権と管理者権限を獲得したときに発生します。攻撃者は セキュリティの脆弱性 を悪用し、ID 権限を変更して、自身に高い権限と機能を与えます。攻撃者はネットワーク内を横方向に移動し、アカウント、資産、その他のリソースを大幅に変更することができます。

最終的には、限定的な権限から完全な制御権へと移行します。彼らは基本的なユーザーを超える存在となり、追加の権限を持つ上級ユーザーにアカウントを昇格させることができます。特権攻撃が成功すると、特権レベルがエスカレートし、より大きな制御権を獲得します。これにより新たな攻撃経路が開かれ、ネットワーク上の全ユーザーを標的とし、マルウェア感染から大規模なデータ侵害やネットワーク侵入に至る攻撃へと発展させることが可能になります。

権限昇格攻撃の仕組みとは？

権限昇格攻撃は、低レベルのIDを取得し権限を悪用することで発生します。攻撃者は環境内を横方向に移動し、追加の権限を取得することで修復不可能な損害を引き起こす可能性があります。多くの組織は クラウドセキュリティ の基本を軽視し、気づかない隙間を残しています。また、複雑なクラウド環境において、企業は内部ユーザー、ID、権限の可視化に苦労しています。

特権昇格攻撃は、アカウントと既存の権限の乗っ取りを試みることで機能します。その範囲は、ローカルログインのみに制限されたゲスト権限から、管理者権限、さらにはリモートセッションのためのルート権限の取得まで様々です。特権昇格攻撃は、ユーザー認証情報の悪用、システムの脆弱性、設定ミス、マルウェアのインストール、さらにはソーシャルエンジニアリングといった手法を用います。攻撃者は環境内に侵入し、適用されていないセキュリティパッチを探し、基本的なパスワード詰め込みや生成AIなどの手法を用いて組織の脆弱性を見つけ出します。侵入経路を発見すると潜入し、長期間にわたり監視活動を継続します。

適切な機会を得ると、より大規模な攻撃を開始します。また、検知されずに済んだ場合には活動の痕跡を消去することも可能です。その手法としては、ユーザー認証情報に基づくログの削除、送信元 IP アドレスのマスキング、侵害の兆候を示す可能性のある証拠の排除などがあります。

権限昇格攻撃で使用される標準的な手法

権限昇格攻撃にはさまざまな種類があります。それらは以下の通りです。

1. 水平特権昇格

これは、攻撃者が別のアカウントを制御し、その本来の特権を悪用することで、自らの特権を進化させることができる場合です。攻撃者は、前のユーザーに付与されたあらゆる特権を引き継ぎ、そこからさらに進むことができます。水平特権昇格は、攻撃者が他のユーザーと同じ権限レベルでアクセス権を取得できるが、異なるユーザー ID を使用する場合にも発生します。従業員の盗まれた認証情報を利用する攻撃者は、水平特権昇格攻撃者に分類されます。

この攻撃の目的はルート権限の取得ではなく、同等または類似の権限レベルを持つ他のユーザーに属する機密データへのアクセスです。水平特権昇格攻撃は、類似の特権レベルや権限レベルにおける脆弱なセキュリティ慣行を悪用します。

2. 垂直特権昇格

これはより高度な特権昇格の手法であり、攻撃者は標準ユーザーアカウントからアクセス権を取得し、その権限を昇格させようと試みます。基本ユーザーからスーパーユーザーや管理者など、より高いレベルの権限へと標準権限を進化させます。これにより、ネットワークやシステムに対する無制限の制御権を得ます。時間の経過とともに、システムへの完全なアクセス権を獲得し、設定の変更、ソフトウェアのインストール、新規アカウントの作成、他者の禁止や拒否リスト登録が可能になります。組織のデータを削除することさえ可能です。

権限昇格の試みを検知する方法とは？

権限昇格攻撃は以下のような方法で検知できます：

• 従業員の日常的な相互交流を観察する。何か怪しい動きがあり、突然彼らの態度が悪くなった場合は、権限昇格攻撃が行われている兆候です。権限昇格攻撃は全て同じではないことを覚えておいてください。ここではソーシャルエンジニアリングに基づく攻撃について説明します。恨みを持つ従業員は、許可されたアクセス権限を利用して、インフラ全体で不正行為を行う可能性があります。
• 異常なログイン活動をチェックし、低権限アカウントが初めてファイルやアプリケーションにアクセスしていないか確認してください。アクセストークンが操作され、何らかの兆候が見られる場合は警戒が必要です。
• SID履歴注入やプロセス注入攻撃を探してください。DC同期起動やシャドウ攻撃も権限昇格攻撃を示します。
• 管理者レベル特権のみで実行が許可されているサービスへの不正な変更は、権限昇格攻撃の標準的な指標です。
• アプリケーションの突然のクラッシュやシステムシャットダウン、アプリケーションの誤動作、カーネルやOSを改ざんする脅威アクターなど、その他のシステムイベントも最終的には権限昇格攻撃につながります。

権限昇格攻撃を防ぐためのベストプラクティス

特権昇格攻撃を防ぐためのベストプラクティスは以下の通りです：

• 特権昇格攻撃を防ぐ最善の方法の一つは、最小権限アクセス原則を理解し適用することです。このサイバーセキュリティの概念により、すべてのユーザーに制限されたアクセス権限が与えられます。つまり、ユーザーは業務に必要な最小限の権限のみを取得します。
• 最小権限の原則は、日常業務に影響を与えたり遅延させたりすることはありません。また、システムリソースを様々な脅威から保護します。アクセス制御の利用、セキュリティポリシーの導入、ITチームがローカル管理者として実行するアプリケーションを管理しつつユーザーにローカル管理者権限を与えない体制の構築が可能です。
• 特権アクセス攻撃を防ぐ第二のステップは、ソフトウェアを最新の状態に保つことです。脆弱性を検知した場合は、オペレーティングシステム全体で直ちにパッチを適用してください。定期的な脆弱性スキャンを実施し、ハッカーが悪用する前に攻撃手法を特定しましょう。
• システム活動を監視し、悪意のあるアクターがネットワーク内に潜んでいないことを確認してください。セキュリティ監視中に不審な異常や行動を検知した場合、それは明らかな兆候です。
• リングフェンシングは、アプリが他のアプリ、ファイル、データ、ユーザーとやり取りできる範囲を制限するために組織が広く採用している手法です。アプリケーションが組織の境界線を越えるのを防ぐ障壁となります。
• また、セキュリティ意識の重要性について従業員を教育してください。ソーシャルエンジニアリング型マルウェアやフィッシングの兆候を認識できるようにしてください。特権昇格攻撃を防ぐ最良の戦略の一つが意識向上です。ハッカー対策において最も効果を発揮します。
• ゼロトラストネットワークセキュリティアーキテクチャを構築し、サイバーセキュリティにゼロトラストアプローチを適用してください。誰も信用しないこと。常に検証する。
• AI脅威検知技術を活用し、監視の目が届かないバックグラウンドでスキャンを実行する。人間の監視がセキュリティ上の欠陥を見逃しても、自動化ツールが検知する。