ナビゲータのEVEです。
今年に入ってから、呪術廻戦の新作がテレビで放送されています。TBS・MBS系28局ネット毎週木曜 深夜0:26〜0:56から放送しているのですが、今回の作品、出演者が何を話しているのかわかりません。そこで、Copilotにどんなことが話されているのか聞いてみました。
今回、死滅回遊というイベントが行われます。その死滅回遊は、呪術を与えられた人間同士の殺し合いのゲーム・・・。
その目的は、人類の強制的な進化。その死滅回遊の期間は、呪術士以外の人も呪術を与えられ強制的に参加させられます。
その死滅回遊という人間同士の殺し合いのゲームの中で、人は進化をしていく・・・。
主催者は、羂索・・・。前回の渋谷事変で、五条悟を獄門疆に閉じ込めた、夏油傑に成りすました人物を指し、他人の肉体を乗っ取る術式を持つ呪術師・・・。
もとは、不明な複数の術師の肉体から生まれ、加茂憲倫、虎杖香織の体に寄生し、現在は夏油傑に寄生しているという設定になっている。
死滅回遊の解説は、天元様を中心に行われ、このような理解がないと全くわからないという状況・・・。多分、本を購入し読めっていうことなんじゃないかな?
Copilotの解説にも一部おかしいところがあるけれど、呪術廻戦を最初から見ていれば、このぐらいの知識で、4話以降楽しんでテレビを見ることができそうです。
では、前振りが長くなりましたが、本日は、土曜日ということで、セキュリティの日です。本日も、先週に引き続き、アスクルのランサムウェア被害について考察をしていきたいと思います。
[権限昇格後のワームの挙動]
先週は、どんなような方法で、アスクル社内に忍び込んだのか考察をしました。その考察の内容が正しいかどうか不明です。
忍び込んだのちは、管理者権限に昇格し、昇格後は、社内のファイルを時限式ウイルスを拡散させ、その一方で、社内の情報をメール等で送信したということが考えられます。情報を送信する場合は、相手先、ようは攻撃者の情報させ知っていれば、送信することができるので、そんなに難しくはなかったと思います。その送信経路上に、ファイヤーウォールとか、ルータという障害があったとは思いますが、奪取した管理者権限ですり抜けたのでしょう?いうほど簡単ではないけれどね?
[ランサムウェア対策]
先週、今週考察したワームに対して、アスクルでは以下のようなセキュリティ強化さを施したとしています。
- 1. EDR(Endpoint Detection and Response)の導入
- アスクルは攻撃前から EDR を導入していました。しかし、攻撃者は侵入後に EDRを無効化 したことが報告されています。
- 2. MFA(多要素認証)
- 業務委託先アカウントに MFAが適用されていなかった
- → つまり、攻撃前は MFA が不十分。
- 3. 権限管理の強化
- 委託先アカウントに例外的に広い権限が付与されていた
- → 攻撃前は権限設計が弱かった。
- 4. バックアップ保護
- バックアップが暗号化されて破壊された
- → 攻撃前はバックアップの分離が不十分。
- 5. 監視体制(SOC)
- 攻撃後に「監視運用強化」「24/365 SOC」を導入
- → 攻撃前は監視が弱かった。
なお、MFA、監視体制の強化以外は、ランサムウェア攻撃を受ける前から施されていましたが、その対策が、不十分だったということが指摘されています。
[権限昇格]
今回一番問題となったと思われるのが、権限昇格・・・それについて、先週は、平文で流れているパスワードを奪取されたのでは?っという考察をしましたが、それ以外にもいろいろな方法で権限昇格ができるそうです。その方法はさておき、まずは、権限昇格を許さない対策について、見ていきましょう。
- 資格情報の保護
- OS・ソフトウェアの最新化
- 端末の暗号化(Disk / Memory)
- 権限設計とネットワーク構造
- EDR自己防御
- 横展開対策
- バックアップ分離
- 監視(SOC)
OS・ソフトウェアの最新化と端末の暗号化(Disk / Memory)などは、多くの職場で対応されていますが、資格情報の保護と権限設計とネットワーク構造は見落としがちのようです。
[あとがき]
今週は時間が来ましたので、ここまでとします。
来週は、どのような攻撃を防御するために、以上のことをするのか考察していきます。
では、また!
コメント
コメントを投稿