セキュリティ管理: 新しいハッキング傾向の脅威
新しい不穏なハッキングの傾向の被害を受けるリスクを軽減することは可能ですが、そのためには対策を立てておく必要があります。
Phil Lieberman
Operation Aurora は、2009 年に Google や他の大企業に対して堂々と行われたサイバー攻撃です。最近、注目を浴びたデータ侵害では、DigiNotar や VeriSign などの証明機関が窮地に立たされました。ハッカーは、恐ろしいにもかかわらず無視されることが多い、ネットワーク セキュリティの欠陥を悪用することを学び、攻撃対象となったネットワークの制御を得ました。
起こるべくして起こったことを後で検証するのは簡単です。このような注目を浴びたサイバー攻撃を企てたハッカーは、必ずしもコンピューターに非常に詳しい人ではなく、ちょっとしたコツを知っている人であることが、最近明らかになりました。ハッカーは人が持つ特質の弱点を突くことで、確信を持って "開いているドア" を悪用することができました。
このようなハッカーは、疑うことを知らないユーザーが、悪意のある添付ファイルを開くように誘導する、現在非常に注目されているスピアフィッシング電子メールのような独創的な戦術を使用して、ユーザーのコンピューターにゼロデイ (対策がまだ講じられていない) マルウェアを投入します。ハッカーは、組織内の 1 台のコンピューターから、脆弱で共有特権を持つ共有アカウントを悪用し、攻撃対象となるネットワーク全体のシステム制御を得て、インフラストラクチャを解読し、機密情報を入手します。これはシンプルでありながら、非常に有効な戦略です。
実際、潜在的に脆弱な特権アカウントは、IT インフラストラクチャ内の至るところで見つけることができます。そのようなアカウントは、ホスト コンピューターの OS、ネットワーク アプリケーション システム、バックアップ システム、および基幹業務 (LOB) ソフトウェアに存在します。特権アカウントは次の 3 つの主要グループに分類できます。
- スーパー ユーザー ログイン アカウント: IT 部門では、特権アカウントを使用して、アプリケーションの設定、実行、インストール、システム設定の変更、日常的な管理作業の対応、および緊急時の修復を実行しています。
- サービス アカウント: サービス アカウントには、特権付きのログイン ID とパスワードが必要です。
- アプリケーション間のパスワード: Web サービス、LOB アプリケーション、およびカスタム ソフトウェアでは、このパスワードを使用してデータベースやミドルウェアなどに接続します。
特権アカウントへのアクセスを制御するパスワードは、ハッカーと組織が所有するデータの間に存在する最初の障壁になります。しかし、残念ながら、これらの資格情報については、十分な保護、監視、および監査がなされていないことが多いのが実状です。
特権アカウントのリスク
特権アカウントは、ID アクセス管理 (IAM) システムでも認識されません。このため、大部分の組織は、これらの強力なアカウントを自動的に管理する方法を持ち合わせていません。
政府と業界によって遵守することが義務付けられている現行の IT セキュリティに関する法規制では、特権アカウントの資格情報の更新と使用状況の監査を頻繁に行うことが求められています。しかし、特権アカウントをスクリプトや手作業で更新することは、時間がかかり、間違いを起こしかねないため、現実的な方法ではありません。
さらにプロセスを複雑にすることには、資格情報を手作業で変更すると、複数の特権アカウント間の相互依存関係を十分に把握していなければ、サービスの停止を引き起こす可能性があります。そのため、多くの組織では、この問題を単純に無視しています。
残念ながら、脆弱な特権アカウントのセキュリティ状態に起因するセキュリティ リスクが、組織のデータセンターの入り口で塞き止められることはありません。組織で使用している大部分の共有サービス (クラウド サービス、証明機関、財務サービスなどのゲートウェイ) では、特権アカウントのセキュリティが弱いか、セキュリティ対策が施されていないことが明らかになっています。
サービス プロバイダーのスタッフが使用している共有の暗号化された脆弱な特権付きのログインは、ハッカーにとって非常に魅力的な攻撃対象です。セキュリティ侵害が生じた単一のログインによって、会社の多数の顧客の個人情報が危険にさらされるおそれがあることを考えると、このような環境では、特にその傾向が強くなります。
鍵を保護する
特権アカウントを保護できる見通しは悲観的であるように思えますが、次の 3 つの簡単な手順に従って、制御を開始することができます。
| ステップ 1 | 鍵を見つける: ネットワーク全体の包括的な監査を実行し、特権アカウントが存在する正確な場所を把握します。このステップには、ログイン情報が十分に固有で複雑であるかどうかと、安全を確保するのに十分な頻度で変更されているかどうかを判断する作業も含める必要があります。標準的なデータセンターに存在する可能性のある何千もの特権ログインを追跡することは、簡単な作業ではありません。多くの場合、一定の条件を満たした組織が無料で使用できる、ある時点における特権アカウントの監査を行う効果的なソリューションがあります。 |
| ステップ 2 | ドアに鍵を掛ける: 検出されたすべてのセキュリティ ホールを修復するために必要な基本的な自動化の機能を導入する必要があります。大規模ネットワークで、特権アカウントを月単位ではなく、時間または日単位で保護できる効率的なソリューションがあります。 |
| ステップ 3 | Windows を保護する: 重要な外部要素が脆弱な状態のままであれば、ネットワークを保護しても意味がありません。クラウド サービス プロバイダーや証明機関など、主要なビジネス パートナーには、Consensus Audit Guidelines のような重要なガイドラインに準拠していることを証明するように要請します。 |
ハッカーはあらゆる企業のネットワークを突破できることを立証しました。過去数か月間に、ハッカーは、さらに大きな支配権を得ているようです。情報筋によると、さらに 4 つの証明機関が、DigiNotar と同様の攻撃を受けた可能性があるとのことです。
多数の組織は、この状況の深刻さに大きなショックを受けているようです。一部の組織はパニックと混乱に見舞われ、鍵穴に鍵を差し込んだままドアを急いで施錠しているような状態になっています。
組織のデータセンターは、特権付き ID が機能することを当てにしています。今後も、この状況は変わらないでしょう。しかし、特権アカウントを保護しなければ、個人情報が危険にさらされたままになります。このようなリスクをすべて認識していたとしても、結局のところ、大切な情報を守れるかどうかはあなた次第です。
.jpg)
Philip Lieberman は、Lieberman Software の創設者かつ代表取締役であり、ソフトウェア業界で 30 年を超える経験があります。コンピューター サイエンスに関する多数の書籍や記事を執筆しています。また、UCLA で教鞭をとっており、Learning Tree International 用のコンピューター サイエンス コースを多数制作しています。San Francisco State University で学士号を取得しています。詳細については、liebsoft.com (英語) をご覧ください。