何が起こったのか
最近発生した注目すべき侵害において、大手QSRグループは、3つの異なる子会社で重大な混乱とデータ流出を経験しました。最初の侵害は、特権を持つ中堅IT管理者を標的とした巧妙なフィッシングキャンペーンに端を発しています。これにより、認証情報の侵害が成功し、企業ネットワーク内に足がかりが築かれました。
この組織は、24時間365日の監視とインシデントのトリアージを、著名なマネージド検出応答(MDR)ベンダーに依存していました。ベンダーは高 severity アラートに対するサービスレベル契約(SLA)を締結していたにもかかわらず、異常な管理アクティビティと不審なネットワーク接続によってトリガーされた重要なアラートが、41時間も認識されませんでした。この長時間の遅延は壊滅的であることが判明し、攻撃者は特権を昇格させ、永続性を確立する時間を与えてしまいました。
この盲点の間に、脅威アクターは驚くべき効率で横方向に移動し、親会社とその子会社間の信頼関係を悪用しました。彼らは、誤って設定された信頼と脆弱なアクセス制御を悪用して、最初の侵害された環境から他の2つの異なる事業単位にピボットしました。永続性が確立された直後にデータ流出が始まり、機密性の高い顧客データと運用データが標的となりました。
なぜこのパターンが繰り返されるのか
このインシデントは孤立した異常ではありません。アウトソーシングされたセキュリティ運用における繰り返しの失敗モードを表しています。根本原因は多岐にわたり、多くの場合、契約上の曖昧さ、人的要因、技術的限界が複合的に作用して発生します。MDR契約ではアラートの重要度と応答時間が頻繁に定義されていますが、実際の実行は大きく異なる可能性があります。
主な問題の1つは、現代の企業で生成されるアラートの膨大な量です。高度な相関分析が行われても、SOCアナリストはアラート疲労に直面し、シグナルの見落としや調査の遅延につながります。これは、MDRプロバイダーが量よりも質を優先する場合、または内部プロセスがすべてのアラートに対して十分な監視と説明責任を欠いている場合に悪化します。
もう1つの要因は、一部のMDRサービスの「ブラックボックス」的な性質です。クライアントは、ベンダーの内部トリアージワークフロー、人員レベル、品質管理メカニズムに対する完全な可視性を欠いていることがよくあります。この不透明性は、重要なシフト中の人員不足やジュニアアナリストの不適切なトレーニングなど、システム上の問題を、重大なインシデントが発生するまで隠蔽してしまう可能性があります。
「最大の脆弱性は常にゼロデイではありません。それは、セキュリティポリシーと実際の導入、特にその導入がアウトソーシングされている場合のギャップです。」
攻撃者のプレイブックのステップバイステップ
攻撃者は、一般的な企業の脆弱性と防御の盲点を明確に理解していることを示す、よく知られたプレイブックを綿密に実行しました。彼らの最初のアクセスは、認証情報を収集するように設計された悪意のあるドキュメントを埋め込んだ、高度に標的化されたスピアフィッシングメールを介して得られました。この最初のアクセスにより、正当なユーザーアカウントが提供されました。
最初のアクセス後、攻撃者は偵察を行い、BloodHoundのようなツールを使用して内部ネットワークをマッピングし、Active Directoryの誤設定と潜在的な特権昇格パスを特定しました。彼らは、特に広範な権限を持つサービスアカウントと管理グループの特定に焦点を当てました。これは、横方向の移動で一般的な標的です。
特権昇格は、既知の脆弱性(CVE-2021-42287/CVE-2021-42278の変種)を介して達成され、ドメインコントローラーを偽装することが可能になりました。これにより、エンタープライズ管理者権限が付与されました。昇格された特権を使用して、彼らはスケジュールされたタスク、新しいサービスアカウント、およびグループポリシーオブジェクト(GPO)の変更を含む複数の永続性メカニズムを確立しました。
子会社間の横方向の移動は、侵害されたエンタープライズ管理者認証情報によって促進された既存のVPN信頼とRDP接続を利用しました。彼らはカスタムのデータ流出ツールを展開し、機密データを内部ファイル共有にステージングした後、攻撃者所有のクラウドストレージに転送しました。この多段階のアプローチにより、検出がより困難になりました。
防御側が見落としたこと
最初の高 severity アラートは、EDRソリューションによって生成され、ユーザーワークステーションからの異常なプロセス実行パターンとアウトバウンドC2通信試行をフラグ付けしていました。このアラートは、即時の調査と封じ込めプロトコルをトリガーするべきでした。41時間もの認識の遅延は、EDRの検出能力が人的要素によって事実上無効化されたことを意味します。
見落とされたアラート以外にも、いくつかの防御層が失敗しました。多要素認証(MFA)は、特に子会社間の横方向の移動に使用される管理アカウントに対して、普遍的に強制されていませんでした。これにより、侵害された認証情報が壊滅的な影響を伴って再利用されることを許しました。子会社間のネットワークセグメンテーションも不十分であり、攻撃者にとっては一度侵入すれば平坦なネットワークとなっていました。
さらに、Active Directoryや重要なサーバーなどの重要なインフラストラクチャに対するログ記録と監査は、十分に包括的ではなかったか、またはMDRの監視スタックに適切に統合されていませんでした。これにより、MDRアナリストが利用できる可視性が制限され、たとえアラートが迅速に認識されていたとしても同様でした。インシデント後の分析により、ログ保持とアクセス可能性に重大なギャップがあることが明らかになりました。
最後に、インシデント対応計画自体に欠陥があった可能性があります。IR計画が書面上に存在していたとしても、これほど長期間にわたって重要なアラートを認識できなかったことは、その計画の実際の運用、特に外部MDRプロバイダーとの引き渡しおよびエスカレーション手順における破綻を示唆しています。
実用的な防御チェックリスト
- ユニバーサルMFAの強制: すべての管理アカウント、VPNアクセス、および重要なビジネスアプリケーション、特に子会社間アクセスに使用されるものに対して、強力でフィッシングに強いMFAを実装します。
- ネットワークを厳密にセグメント化する: ゼロトラストの原則と、ビジネスユニットと重要な資産間の堅牢なネットワークセグメンテーションを実装します。デフォルトで横方向の移動パスを制限します。
- MDRのパフォーマンスを継続的に監査する: アラートの認識時間、調査の徹底度、誤検知率など、MDRベンダーに対する明確で測定可能なパフォーマンスメトリックを確立します。定期的かつ独立した監査を実施します。
- ログとテレメトリを検証する: すべての重要なシステム(AD、EDR、ネットワークデバイス、クラウドサービス)が包括的なログをSIEM/MDRに送信していることを確認します。ログの取り込みとアラートの生成を定期的にテストします。
- パープルチーム演習を実施する: 検出と対応のギャップを特定するために、攻撃的セキュリティテスト(レッドチーム)と防御分析(ブルーチーム)を統合します。既知のCVEや横方向の移動技術を利用するものを含む、実際のTTPをシミュレートします。
- インシデント対応計画のレビューとテスト: 外部プロバイダーが関与するシナリオに焦点を当てて、インシデント対応計画を定期的に更新し、机上演習を行います。見落とされたアラートとベンダーの説明責任に関する具体的な手順を含めます。
- クラウドセキュリティ体制管理(CSPM)の実装: ハイブリッドまたはマルチクラウド環境を持つ組織の場合、不正アクセスやデータ流出につながる可能性のある誤設定を継続的に監視します。
現代の攻撃テストがこれをどのように検出できたか
高度な攻撃的セキュリティエンゲージメント、特に継続的なレッドチームまたは侵害・攻撃シミュレーション(BAS)に焦点を当てたものは、まさにこのような運用上の盲点を露呈するように設計されています。適切に実行されたパープルチーム演習は、EDRやその他のセキュリティ制御からアラートをトリガーしようと試み、同じまたは類似の初期アクセスベクトルを利用したでしょう。
決定的な違いは、即時のフィードバックループにあります。そのような演習中、アラートが生成された場合、テストチームは監視チームからの迅速な認識と調査を期待するでしょう。アラートが見落とされた場合、実際の攻撃者が悪用する前に、演習のデブリーフィング中に重大な失敗として即座に強調されるでしょう。
さらに、効果的なBASプラットフォームは、攻撃者の技術を常にシミュレートし、セキュリティ制御が期待されるテレメトリを生成するかどうか、そして監視チームがそれに対応するかどうかを確認します。すべてのシグナルはログに記録され、タイムスタンプが付けられるため、検出の見落としや応答の遅延が即座に定量化され、監査可能になり、そのような失敗が隠蔽されるのを防ぎます。この客観的で検証可能な記録により、説明責任が明確になります。
次に注目すべき点
業界は、重要なセキュリティ機能のアウトソーシングの複雑さに引き続き取り組むことになります。MDR契約の詳細、特にSLA、アラート処理ワークフロー、ベンダー運用の透明性に対する監視が強化されると予想されます。規制当局は、第三者のセキュリティサービスに依存する組織に対して、デューデリジェンスと継続的な監視を強調する、より厳格なガイドラインを導入する可能性もあります。
技術的には、AI駆動の異常検出と自動応答への推進が強化されるでしょう。しかし、複雑なアラートを解釈し、重要な封じ込め決定を下す上での人間の要素は依然として最重要です。課題は、新しい盲点を生み出したり、文脈理解を欠いた自動化に過度に依存したりすることなく、AIを効果的に統合することでしょう。
最後に、セキュリティ運用と攻撃的セキュリティテストの融合がより顕著になるでしょう。組織は、脅威を検出するだけでなく、進化するTTPに対して防御を積極的に検証するソリューションを求めるようになり、NISTフレームワークの「検出」機能が真に効果的で継続的に改善されることを保証します。MDRを単に所有することから、MDRが実際のプレッシャーの下で実証的に機能することを確認することへと焦点が移るでしょう。
