最近起きた Oktapus ランサムウェア攻撃は、どうすれば防げたのか

組織のOktaアカウントを狙って重要なアプリケーションにアクセスする新しいランサムウェア攻撃グループが現われ、ここ数カ月の間にその名を広めています。この攻撃はOktapusと名付けられ、高度な標的型スピアフィッシングキャンペーンにより、世界中の100以上の組織から多要素認証（MFA）クレデンシャルを盗み出しました。最近話題になったTwilioとDoorDashの2つの攻撃では、数千人のPII（personally identifiable information：個人を特定できる情報）を含む顧客データが侵害されました。

惜しかったのは、これらの攻撃は狙われた組織のセキュリティ専門家によって容易に特定されたにも関わらず、最初の侵害からデータを盗み出すまでの間の攻撃グループの行動が素早かったため、攻撃を止めることがほとんど不可能だったことです。これは、検知と対応にばかり注力することが、なぜ企業を大きな危険にさらすことになるのかを示しています。

初期アクセスの排除に重点を置いた予防的なセキュリティアプローチを採用することで、重要なビジネスシステムを制御して貴重なデータを流出させる他のマルウェアに加えて、ランサムウェア攻撃の急増から組織を守ることができます。しかし脅威の範囲が拡大し、MFAツールであるOktaなどの組織を保護するツールが攻撃を受けている中で、企業は何をすればよいのでしょうか。

攻撃の仕組み

サイバーインテリジェンス研究チーム「Group IB」のレポートによると、攻撃は低スキルの手法で標的のOktaアカウントを侵害し、迅速（ほぼリアルタイム）に移動して後続のシステムやアプリケーションを狙い、重要な顧客データを流出させました。

この攻撃では、Oktaの顧客に対して詐欺用のOkta認証ページへのリンクを含むテキストメッセージまたはメールを送信します。被害者はWebフォームにユーザー名とパスワードを入力するよう促され、その後、2FAコードの入力を要求されました。攻撃者は、固有のコードやプッシュ通知の有効期限が切れる前（多くの場合2分以内）に、迅速に行動しなければなりません。このことから、攻撃者はツールをリアルタイムで監視し、侵害後すぐに認証情報を使用できるように待機していた可能性が高いと考えられます。

Oktapusは、最新のHEAT（Highly Evasive Adaptive Threats）攻撃に見られるような高度な回避技術を利用するのではなく、奇襲性とスピードを武器に被害者を侵害したのです。そしてこの攻撃は、サイバーセキュリティに対して検知のみのアプローチに依存し続ける企業に対して警告を発するものです。セキュリティツールは、同じ画像、フォント、スクリプトを使用した不正なドメインを迅速に検知しましたが、それは役に立ちませんでした。Oktapusはさらに迅速に、ほぼリアルタイムにペイロードを配信し、データを抽出したのです。脅威が検知されたときにはすでに手遅れで、被害は拡大していました。たとえ不正なサインインページが検出され、ブラックリストに登録されたとしても、ランサムウェアのグループはすぐに別のドメインを立ち上げ、組織内の他の個人を狙い続けることができたのです。ブラックリストやURLフィルタリング、フィッシングのトレーニングも、攻撃を食い止めることはできなかったのです。

最初のアクセスを阻止

最初のアクセスを防ぐことができた企業だけが、Oktapusの長い触手から逃れることができたのです。不正なドメインを検知してブラックリスト化されるのを待つのではなく、アイソレーション技術によってユーザーとインターネットとの間に仮想的な障壁を作り、ユーザーが認証情報を入力することを禁止するのです。アイソレーションは、既知および未知のコンテンツがすべて悪意のあるものであると仮定するため、クリックの時点で許可か拒否かを決定する必要はありません。この最初のアクセスを止めることで、攻撃者がネットワークに侵入してデータを取得する望みを絶ち、効果的に企業を保護することができます。

攻撃がリアルタイムで行われるようになるにつれ、サイバーセキュリティに対する検知と対応のアプローチでは、今日の革新的な悪意ある攻撃者を阻止するために企業が必要とするレベルの保護を提供できないことが明らかになりつつあります。どんなに優れたツールでも、どんなに包括的な脅威インテリジェンスでも、それだけでは十分ではありません。攻撃者は常に一歩先を進んでいるのです。隔離技術によって最初のアクセスを防ぐことが、ランサムウェアやその他のマルウェアの攻撃を阻止する唯一の方法なのです。