サイバー攻撃者は、標的組織のネットワークとアプリケーション（デジタル攻撃対象領域）をスキャンし、発見された脆弱性やゼロデイ脆弱性を悪用する複数の手法と手順を使用して、多段階の攻撃を仕掛けます。 このホワイト ペーパーでは、企業が防御しなければならない脅威のいくつかのクラスを検討し、敵対者の活動による被害を封じ込める可能性を高めるためにゼロ トラストの原則を使用することを強調します。 次に、MITRE ATT&CK フレームワークに体系化されている攻撃者の戦術、手法、手順について簡単に説明します。 最後に、MITRE D3FEND フレームワークについて説明し、それをゼロ トラストの原則にマッピングします。 

米国国立標準技術研究所 (NIST) のコンピュータ セキュリティ リソース センター (CSRC) 用語集では、「攻撃対象領域」を「攻撃者がシステム、システム要素、または環境に侵入したり、影響を与えたり、データを抽出したりできる、システム、システム要素、または環境の境界上のポイントの集合」と抽象的に定義しています。

「攻撃対象領域」を考える別の方法は、デジタル環境のさまざまなコンポーネントに潜む既知および未知の脆弱性をすべて考慮することです。 このようなコンポーネントの非網羅的なリストには以下が含まれます: 

• 物理および仮想ネットワーク、コンピューティング、ストレージ資産
  
• ハイパーバイザー、仮想マシン、コンテナオーケストレーションシステム、サービスメッシュ
  
• これらの資産上で実行されるソフトウェア（ファームウェア、オペレーティングシステム、データベース管理ソフトウェア、アプリケーションソフトウェアなど）
  
• コンテナイメージリポジトリ、VMイメージリポジトリ、コードリポジトリ
  
• 内部および外部API、マイクロサービスエンドポイント、アプリケーションポータル
  
• ID 検証サービス、タイム サーバー、リモート データ ストレージなど、ローカル環境外だがローカルで使用されるサービス
  
• アイデンティティストア、ユーザーアカウントデータベース、ビジネスデータストア

ビジネスに対するリスクを最小限に抑えるために、組織は、すべての規制コンプライアンス要件に準拠しながら、自社のデジタル資産と知的財産、および顧客と従業員のプライバシーを保護する必要があります。 それと同時に、ビジネス ワークフローとデジタル エクスペリエンスが引き続き利用可能で信頼できる状態を保つことも保証する必要があります。 この課題の解決策は、ゼロ トラストの原則、つまり最小限の権限の使用、明示的な検証、継続的な評価、侵害の想定に従うことです。¹ そうすることで、組織は次のセクションで説明するように、さまざまな脅威クラスに対処できます。

データは現代のデジタル企業にとって生命線です。そのため、攻撃者は組織のデータを狙う強い金銭的動機を持っています。 盗まれたデータはダークウェブで販売され、他者によってデータ所有者にさらなる危害を加えるために使用される可能性があります。 組織はランサムウェアの餌食になる可能性もあります。ランサムウェアでは、攻撃者がデータを暗号化するか、組織のインフラストラクチャから完全に削除することによって、組織のデータを利用不可能にします。 攻撃者は、データを復元するのと引き換えに、被害者に支払い（「身代金」）を要求することができます。 3 番目の種類のデータ攻撃は、単に危害を加えることだけを目的とする攻撃者が行うもので、データを巧妙に破壊し、それによってビジネス プロセスやそれに依存するデジタル エクスペリエンスを混乱させるというものです。 

データ漏洩、またはデータ侵害は、所有者の同意なしに敵対者が機密情報にアクセスしたときに発生します。 こうした攻撃は、知的財産への影響に加え、ブランドの損害や信頼の喪失を引き起こすことも少なくありません。 法律では、侵害を受けた組織は個人を特定できる情報を含むデータの損失を報告することが義務付けられています。 フィッシング技術、公開アプリケーションの脆弱性の悪用、サプライチェーンの侵害の使用はすべて、データが保存されているデジタル環境に侵入するための一般的な方法です。

最近の注目すべき例としては、SolarWindsのサプライチェーン攻撃が挙げられる。²敵対者はこれを何千もの企業や政府機関に侵入するために使用しました。 この最初のアクセスは、デジタル インフラストラクチャ内に永続的な存在を確立し、複数の被害者のアプリケーションとネットワーク間での横方向の移動を可能にすることで、その後の攻撃悪用手順への足掛かりとなりました。 最終的に、これらの戦術は、資格情報/パスワードを侵害し、被害者のデータを盗み出すという攻撃者の最終目標につながりました。 

データに対する別の攻撃形態は「ランサムウェア」攻撃です。これは、ハッカーがマルウェアを展開して主要なビジネス プロセスを妨害または完全にブロックする攻撃です。 最もよくあるケースとしては、重要なビジネス データが暗号化または削除され、重要なワークフローが中断されることがあります。 場合によっては、ID 認証データ ストア内のデータも暗号化または削除され、正当なユーザーがシステムから完全に締め出されてしまいます。 攻撃者は「身代金」を受け取った場合にのみ、システムへのアクセスを復元したり、データを復号化したりします。 2021年5月、ランサムウェア攻撃によりコロニアルパイプラインが機能不全に陥った。³アメリカ南東部にガソリンとジェット燃料を輸送します。

一部の攻撃者は、データ攻撃においてより微妙なアプローチを使用します。 これらの高度な攻撃者は、データを盗み出したり、利用できない状態にしたりするのではなく、被害者組織の現場データに慎重にターゲットを絞った少数の変更を加え、その見返りとしてアプリケーションの通常の外部向けワークフローを通じて利益を得ます。 例としては、割引販売される航空座席の割合を増やす、在庫供給データベースを操作して販売される商品の数を増減させる、または電子小売サイトに特別割引コードを追加するなどが挙げられます。 こうした「ステルス」変更は、被害が発生するまで検出するのが難しいことが多く、被害者自身のビジネス ワークフローを利用して攻撃者に価値をもたらします。 

ハッカーは、ネットワークとコンピューティング インフラストラクチャのリソースを消費する攻撃を仕掛け、ビジネス プロセスが停止したり、効率的に機能しなくなったりします。 このような攻撃の目的は、標的の組織のブランドを傷つけることから、金銭を強要すること、オンラインチケット販売を利用できなくするなど特定のビジネス成果を達成することまで多岐にわたります。 さらに、高度な攻撃者は、同時進行するより洗練された攻撃の他の手順を実行する際の煙幕として、このタイプの攻撃を使用することがよくあります。 

攻撃者はボットネットを使用して攻撃トラフィックをターゲットのリソースに誘導し、分散型サービス拒否 (DDoS) 攻撃を開始します。 ボリューム型 DDoS 攻撃は、ターゲットのネットワークに大量のトラフィックを流し込み、利用可能な帯域幅をすべて消費します。 プロトコル DDoS 攻撃は、ファイアウォールなどのステートフル ネットワーク デバイス上の接続テーブルを埋めるために特殊なトラフィックを送信し、正当な接続が切断されるようにします。 アプリケーション DDoS 攻撃は、不正なリクエストによってサーバーのリソースを消費します。 

攻撃者はコンピューティング リソースに不正にアクセスし、攻撃者に代わって計算を実行し、その結果をコマンド アンド コントロール サーバーに報告することができます。 これは、コンピューターの所有者に知られることなく、バックグラウンドで暗号通貨マイニング コードを実行するために行われることがほとんどです。 フィッシングとドライブバイダウンロードは、コンピューターに暗号通貨マイニングコードを展開するために使用される典型的な方法です。 ハッカーは、MITRE ATT&CK の横方向の移動戦術を使用して、盗んだ CPU 容量を拡大し、永続化戦術を使用して、不正な計算を実行する能力を維持します。

悪意のある行為者は、望ましいワークフローやユーザー エクスペリエンスを悪用して組織に損害を与えます。 これらの脅威は、収益の損失、ブランドの失墜、詐欺への対処にかかる運用コストの増大につながる可能性があります。

個人的な利益を目的とするハッカーは、正当なビジネス プロセスを利用して組織に損害を与えます。 たとえば、自動化を利用して人気イベントのチケットを大量に購入し、他の人が購入できないようにして、高値で販売する場合があります。 

ビジネス情報は、組織の公開 Web サイトから収集されたり、内部システムから盗まれたりして、組織に損害を与える方法で使用される可能性があります。 たとえば、競合他社が価格情報を入手し、自社の価格を下げて顧客を誘惑する可能性があります。 

ハッカーは、一般公開されている Web サイトのコンテンツを改ざんしたり、改ざんしたりして、組織に迷惑をかける可能性があります。 また、コンテンツを変更して、ウェブサイトのユーザーに誤った情報を提供することもできます。 

詐欺師は、他のユーザーに代わって金融取引を実行し、その取引から利益を得る方法を見つけます。 攻撃者は盗んだ認証情報を使用してアカウントを乗っ取ったり、何も知らないユーザーを騙して普段使用しているサイトに似せたサイトにアクセスさせ、アカウントの認証情報を渡したりします。 この種の詐欺は通常、電子商取引サイトや金融機関のポータルで行われます。 COVID時代には、多くの詐欺師が失業保険詐欺に手を染め、盗んだ個人情報を使って不正な失業保険の申請を行い、給付金を自分に振り向けていました。⁴

組織に対して脅威を与える執拗な敵は、忍耐強く、組織的で、高度なスキルを持っています。 攻撃者が危害を加えるには、情報の収集、初期アクセスの取得、足掛かりの確立、情報の盗難、データの持ち出しなど、いくつかの戦術的目標を達成する必要があります。 MITRE ATT&CKフレームワーク⁵戦術的目標、戦術的目標を達成するための手法、およびそれらの手法を実装するための手順をリストします。 防御者はこのフレームワークを使用して、あらゆる攻撃を一連の戦術、手法、および手順 (TTP) に分解できます。これらの TTP は、 MITRE ATT&CK フレームワーク サイトにあります。 図 1 に示すように、各戦術とそれに関連する手法について、デジタル環境全体でゼロ トラストの原則を順守すると、攻撃者の成功確率が低下し、攻撃者の活動を早期に検出できる可能性が高まることがわかります。 

D3FEND フレームワークは、「サイバーセキュリティ対策ドメインの主要な概念と、それらの概念を相互にリンクするために必要な関係の両方を定義する、意味的に厳密な型と関係を含む」対策知識ベースと知識グラフを提供します。⁷ このフレームワークは、セキュリティ担当者がデジタル環境に関連する脅威から防御するために必要な機能を検討するのに役立ちます。

さらに、D3FEND フレームワークに記載されている関連対策を実行する能力を評価することで、MITRE ATT&CK フレームワークに列挙されているさまざまな TTP に対する準備の観点からセキュリティ リスクを考えることも可能です。 2 つのフレームワーク間の結合組織は、「デジタル アーティファクト」抽象化です。 攻撃者が一連の TTP を使用して攻撃を実行すると、その活動によって観察可能なデジタル アーティファクトが生成されます。 D3FEND フレームワークは、実務者が敵対者の活動によって生成されたデジタル アーティファクトをどのように探すかを具体的に記録し、実行可能な防御計画を構築するのに役立ちます。

図 2 に示すように、MITRE D3FEND 対策のカテゴリは、ゼロ トラストの原則に基づくゼロ トラスト セキュリティ手法にきちんとマッピングされていることがわかります。 

今日のアプリケーションとデジタル エクスペリエンスは、増加するモバイル ワーカーと顧客ベースに対応する相互接続されたデジタル企業のエコシステムというより広い文脈の中で、人間とスマート デバイスの両方を含む、より多様な対象顧客とのより豊かなエンゲージメントを求めるビジネス上の要望によって推進されています。 同時に、ビジネスの俊敏性と効率性に対する要求がますます高まっているため、アプリケーション アーキテクチャでは、オープン ソース コンポーネントと SaaS コンポーネントをより多く活用するようになりました。 その結果、今日のコア アプリケーションは、これまで以上に深く、制御の少ないインフラストラクチャに依存するようになりました。 現代のビジネス要件により、アプリケーション アーキテクチャの複雑さが増し、より広範かつ動的な脅威にさらされるようになりました。これは、これまで以上に資金力があり、意欲的な高度な攻撃者によって悪用されています。

MITRE ATT&CK フレームワークは、悪意のある人物が複雑な攻撃を作成するために使用する戦術、手法、および手順を体系的に命名します。 MITRE D3FEND フレームワークは、攻撃で使用される TTP によって生成される観察可能なデジタル アーティファクトを検出するために組織が使用できる対策の知識グラフを指定します。 MITRE D3FEND 対策はゼロ トラストのさまざまな原則に関連付けることができ、これらの原則を遵守することで、対策を実装する具体的なメカニズムがより効果的になります。 

レポートをダウンロード