Sumo Logicは、Akiraランサムウェアグループによる高度なサイバー攻撃を報告した。この攻撃は、セキュリティー保護されていないLinuxベースのウェブカメラを悪用して企業ネットワークに侵入した。攻撃者は、この見過ごされていたIoTデバイスを利用して従来のエンドポイント検出および対応(EDR)ソリューションを回避し、ネットワーク共有の暗号化に至って重大な損害を引き起こした。このインシデントは、IoTベースの攻撃ベクトルのリスクが増大していることと、組織が接続デバイスに強力なセキュリティー対策を実装する必要性が高まっていることを浮き彫りにしている。
企業がIoTデバイスを自社のインフラストラクチャーに組み込み続けるにつれて、攻撃者による横方向の移動を防ぐために、これらのエンドポイントを保護することが不可欠になる。Akiraグループの攻撃は、企業ネットワーク内の保護されていないLinuxベースのウェブカメラを特定することから始まった。攻撃者は、デフォルトまたは脆弱な認証情報を悪用してデバイスへの最初のアクセスを取得し、侵害されたウェブカメラを使ってネットワーク内の他のデバイスからWindows Server Message Block (SMB)共有をマウントし、IoTデバイスから直接Linuxベースのランサムウェア暗号化プログラムを展開し、従来のエンドポイントを監視するように設計されたEDRソリューションをトリガーすることなく、ネットワーク共有に保存されているデータを暗号化した。
この事件は、組織にとっていくつかの重大な懸念を引き起こしている。多くのIoTデバイスは適切なセキュリティー制御なしに導入されており、攻撃者にとって理想的な侵入口となっている。攻撃者がIoTデバイスを侵害すると、ネットワーク内で方向転換して高価値アセットを狙うことができる。従来のエンドポイント保護ソリューションはIoTデバイスを監視するように設計されていないため、攻撃者が検出を逃れる機会を生み出している。ランサムウェアのオペレーターがより高度な手法を採用するにつれて、組織はエンドポイントベースの防御だけに頼るのではなく、ネットワークの動作の異常を検出する準備をする必要がある。
Sumo LogicのFirst SeenルールとOutlierルールを使うと、ランサムウェアインシデントにエスカレートする前にこれらの脅威を検出できる。OutlierルールはIoTデバイスからの異常なSMBトラフィックを監視し、First Seenルールはネットワーク共有の不正なマウントを検出する。これらの検出技術により、セキュリティーチームは従来とは異なる攻撃対象領域を可視化し、ラテラルムーブメントを早期に検出し、重大なセキュリティーギャップを埋めることができる。Sumo Logicを活用することで、従来のUEBAソリューションに通常伴う運用上の複雑さを伴わずに、新たな脅威に適応する効果的な検出ルールを迅速に導入できるだろう。
出典:Sumo Logic
この製品の詳細については、製品ページをご覧ください。
