ロシアの情報機関SVRに関連する脅威グループ「Midnight Blizzard」が、クラウド環境への初期アクセスを得るために自動化されたクラウドサービスアカウントと休眠アカウントを利用している。この攻撃は、組織がクラウドサービスの採用を拡大する中で、脅威アクターが戦術を変更したことを示している。
英国の国家サイバーセキュリティセンター(NCSC)は、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)および他国の対応機関と協力して、Midnight Blizzardの戦術の変更と、組織がクラウド環境への初期アクセスを防ぐための必要性について警告した。
Midnight Blizzardは、クラウドサービスアカウントへのアクセスを得るために、ブルートフォース攻撃やパスワードスプレー攻撃を使用している。また、休眠アカウントを利用して、以前にアクセスが遮断されたネットワークへ再びアクセスすることもある。
この脅威に対処するため、NCSCは多要素認証の使用、サービスアカウントの強力なパスワードの作成、最小権限の原則の実装、認証トークンのセッション寿命を実用的な限り短く保つこと、およびクラウド環境での不正なデバイスの登録を許可しないポリシーの確立を推奨している。
【ニュース解説】
ロシアの情報機関SVRに関連する脅威グループ「Midnight Blizzard」が、クラウドサービスアカウントや休眠アカウントを悪用して、組織のクラウド環境への初期アクセスを得る新たな手法を採用していることが明らかになりました。これは、組織がクラウドサービスの利用を拡大する中で、脅威アクターが戦術を変更したことを示しています。
英国の国家サイバーセキュリティセンター(NCSC)は、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)および他国の対応機関と協力して、この戦術の変更と、組織がクラウド環境への初期アクセスを防ぐための必要性について警告しました。
Midnight Blizzardは、クラウドサービスアカウントへのアクセスを得るために、ブルートフォース攻撃やパスワードスプレー攻撃を使用しています。これらの攻撃は、自動化されたクラウドサービスの管理アカウントに対して行われ、これらのアカウントは二要素認証の保護が難しいため、攻撃による乗っ取りが成功しやすいとされています。また、休眠アカウントを利用して、以前にアクセスが遮断されたネットワークへ再びアクセスすることもあります。
このような脅威に対処するため、NCSCは多要素認証の使用、サービスアカウントの強力なパスワードの作成、最小権限の原則の実装、認証トークンのセッション寿命を実用的な限り短く保つこと、およびクラウド環境での不正なデバイスの登録を許可しないポリシーの確立を推奨しています。
このニュースは、クラウドサービスの普及に伴い、サイバーセキュリティの脅威が進化し続けていることを示しています。組織は、クラウド環境のセキュリティを強化し、新たな脅威に対応するための対策を講じる必要があります。また、このような攻撃は、組織の重要な情報が漏洩するリスクを高めるため、セキュリティ対策の強化は急務です。一方で、攻撃手法の進化は、セキュリティ技術の発展を促すきっかけともなり、長期的にはより堅牢なセキュリティ環境の構築に寄与する可能性があります。
from Russia's 'Midnight Blizzard' Targets Service Accounts for Initial Cloud Access.
