Nov 04,2021

Nobelium標的型攻撃に関するパートナーのためのガイダンス

この記事はMicrosoft Partner Network – MPN Blogs site に掲載された記事Guidance for partners on Nobelium targeted attacks – Microsoft Partner Network の翻訳です。最新情報についてはリンク元のページをご参照ください。

本日、マイクロソフトは、パートナーや顧客がNobeliumとして追跡されている脅威アクターに関連する国家的活動から保護するためのガイダンスを発表しました。Nobeliumは、2020年に発生したSolarWindsの不正アクセス事件の犯人と同一人物であり、今回の不正アクセス事件でも、同人物の妥協に妥協を重ねたアプローチの特徴が見られます。マイクロソフトは、Microsoft Threat Intelligence Center (MSTIC)がNobeliumによる標的または侵害を観測した組織に対して、国家通知プロセスを通して通知しました。

この Nobelium の活動による潜在的な影響を軽減するために、委任された管理者権限に依存しているクラウド サービス プロバイダ (CSP)、マネージド サービス プロバイダ (MSP)、およびその他の IT サービス組織 (以下、総称して「サービス プロバイダ」) は、以下のガイダンスを確認し、自組織および顧客に対して直ちに緩和策を実施する必要があります。

マイクロソフトは、サービスプロバイダの特権アカウントを標的にして、クラウド環境を横に移動し、信頼できる技術的な関係を利用して下流の顧客にアクセスし、さらなる攻撃を可能にしたり、標的となるシステムにアクセスしたりするNobelium を確認しています。これらの攻撃は、製品のセキュリティ上の脆弱性によるものではなく、Nobelium が、高度なマルウェア、パスワードスプレー、サプライチェーン攻撃、トークン窃盗、APIの不正使用、スピアフィッシングなどの多様でダイナミックなツールキットを使用して、ユーザーアカウントを侵害し、そのアカウントでのアクセスを利用するという継続的なものです。これらの攻撃は、すべての管理者が厳格なアカウントセキュリティを採用し、環境を保護するための追加措置を講じる必要性を浮き彫りにしています。

また、今回観測されたサプライチェーン攻撃では、サービスプロバイダーなどの下流の顧客もNobelium の標的となっています。このようなプロバイダと顧客の関係では、顧客がプロバイダに管理権限を委譲することで、プロバイダが顧客の組織内の管理者であるかのように顧客のテナントを管理することができます。Nobeliumは、サービスプロバイダレベルで認証情報を盗み、アカウントを侵害することで、委任された管理者権限(DAP)などのいくつかの潜在的なベクターを利用し、そのアクセスを活用して、外部に面したVPNやネットワークアクセスを可能にするプロバイダと顧客の間の独自のソリューションなどの信頼できるチャネルを介してダウンストリーム攻撃を拡大することができます。

マイクロソフトは、このNobeliumの活動による潜在的な影響を軽減するために、すべてのパートナー様およびお客様に、以下のガイダンスを直ちに確認し、リスク軽減策の実施、環境の強化、およびMSTICブログでさらに説明されている戦術に一致する不審な行動の調査をお勧めします。これらの組織に対する活動は現在も継続しており、MSTICは引き続き観察、監視を行い、影響を受けるお客様には国家レベルの通知プロセスを通じてお知らせします。

MSTICによるパートナーおよびお客様へのガイダンス

マイクロソフトは、クラウドサービス事業者、顧客のシステムに対して昇格した特権を持つその他の技術組織、およびこれらの組織の下流に位置するすべての顧客に対し、最近のNobelium活動を緩和および修正するために、以下のアクションを確認および実施することを推奨します。

クラウド サービス プロバイダまたは昇格特権に依存している組織の場合

1.Microsoft Partner Center のセキュリティ要件への準拠を確認および監視する
すべてのマイクロソフト パートナーは、Microsoft Partner Center を通じてパートナーのセキュリティ要件への全体的な準拠状況を確認し、検証する必要があります。これによりマイクロソフトでは以下を推奨しています。

●多要素認証 (MFA) が使用されており、条件付きアクセスポリシーが施行されていることを確認:すべてのマイクロソフト パートナーは、Partner Center へのアクセス、およびマイクロソフトの商用クラウド内の顧客テナントへのクロス テナント アクセスに MFA を使用する必要があります。パートナーは、Partner Centerでセキュリティコンプライアンスをチェックし、ユーザーのログインやAPIコールがMFAの施行に準拠していないかどうかを監視することをお勧めします。パートナーは、常にコンプライアンスを維持する必要があります。

Secure Application Model Frameworkを採用:Partner CenterのAPIを統合するすべてのパートナーは、アプリおよびユーザ認証モデルのアプリケーションにSecure Application Modelフレームワークを採用する必要があります。

●Partner Center Activity Logsのチェック: パートナーは、Partner Centerの「Activity Log」を定期的にチェックして、高権限ユーザの作成、高権限ユーザのロール割り当てなどのユーザアクティビティを監視することをお勧めします。また、パートナーは、Partner CenterのアクティビティログAPIを使用して、Partner Centerの主要なユーザアクティビティに関するカスタムセキュリティダッシュボードを作成し、疑わしいアクティビティを事前に検出することができます。

2. 委任された管理者権限(DAP)の接続を使用していないときに削除する
使用していない場合
はセキュリティを向上させるために、マイクロソフトは、パートナーが使用しなくなった委任された管理者権限を削除することを推奨しています。11月からは、すべてのアクティブな委任された管理者権限の接続を識別して表示し、組織が未使用の委任された管理者権限の接続を発見するのに役立つ新しいレポートツールが提供されます。

このツールは、パートナーエージェントがこれらの特権を使ってどのようにお客様のテナントにアクセスしているかを把握するためのレポートを提供し、パートナーが使用していない場合は接続を削除することができます。

サービスプロバイダーの皆様には、Azure Active Directory Premium Plan 2を2年間無料で提供し、アクセス権限の管理とレポートの取得をさらに支援します。登録済みのパートナーは、Partner Centerにログインして、このオファーを利用することができます。Azure AD Premium Plan 2は、サインインログへのアクセスを拡張し、Azure AD Privileged Identity Management (PIM)やリスクベースのConditional Access機能などのプレミアム機能を提供し、セキュリティ管理を強化します。

3.徹底した調査と包括的な対応の実施
被害を受けた可能性がある場合は、追加の調査を実施し、侵害されたユーザーや資産の全容を把握します。マイクロソフトでは以下を推奨しています。

Azure AD Security Operations Guide を確認し、セキュリティ運用を監査または確立します。 クラウド サービス プロバイダや昇格した特権に依存している組織の場合は、お客様のネットワークとその接続におけるセキュリティ上の影響を評価する必要があります。特に、Microsoft 365 コンプライアンスセンター(旧 Exchange 管理センター)または Azure AD 管理ログを使用して、Azure AD の構成変更に関連する認証を確認してください。

●クラウドベースのリソースの適切なログ保持手順は、悪意のある活動を効果的に特定、対応、修正するために重要です。クラウドサービスプロバイダやその他のテクノロジー企業は、顧客の特定の要件を満たすために個々のサブスクリプションを構成することがよくあります。これらの設定には、インシデントが発生した場合に管理者の行動に対して完全な説明責任を果たせるようなセキュリティ管理が含まれていない場合があります。すべての組織は、サブスクリプション内で利用可能なログを熟知し、適切性や異常性を日常的に評価することをお勧めします。

フィッシングとパスワードスプレーに関する一般的なインシデント対応のプレイブックは、Microsoft Security Best Practicesに掲載されています。

ダウンストリームのお客様について

  1. アクセス権と委任された権限の見直し、監査、最小化
    最小限の権限で済むようなアプローチを検討し、実行することが重要です。マイクロソフトでは、パートナーとの関係を徹底的に見直し、監査することを優先し、組織と上流のプロバイダーとの間で不要な権限を最小限に抑えることを推奨します。見慣れないパートナー関係や未監査のパートナー関係については、直ちにアクセスを停止することをお勧めします。

すべてのテナント管理者アカウントを見直し、強化し、監視する:すべての組織は、AzureサブスクリプションのAdminister On Behalf Of(AOBO)に関連するユーザーを含む、すべてのテナント管理者ユーザーを徹底的に見直し、ユーザーとアクティビティの信憑性を確認する必要があります。すべてのテナント管理者に強力な認証を使用し、MFA で使用するために登録されたデバイスを確認し、高権限の常設アクセスの使用を最小限に抑えることを強く推奨します。すべてのテナント管理者のアカウントの再点検を継続し、監査ログを定期的にチェックして、高権限のユーザーアクセスが業務に必要のない管理者ユーザーに付与または委譲されていないことを確認します。

●B2Bおよびローカルアカウントからのサービスプロバイダの権限アクセスを確認します。クラウドサービスプロバイダーの中には、委任された管理者権限の機能を使用するだけでなく、企業間取引(B2B)アカウントや、顧客のテナントのローカル管理者アカウントを使用するところもあります。クラウドサービスプロバイダーがこれらのアカウントを使用しているかどうかを確認し、使用している場合は、それらのアカウントが適切に管理され、お客様のテナント内で最小特権のアクセス権を持つようにすることをお勧めします。マイクロソフトでは、「共有」された管理者アカウントの使用を推奨しています。B2Bアカウントの権限を確認する方法については、詳細が記されているガイダンスを参照してください。

  1. 多要素認証(MFA)が有効であることを確認し、条件付きアクセスポリシーを実施する MFAは、脅威から保護するための基本的なセキュリティ衛生方法として最適です。Microsoft 365での多要素認証の設定に関する詳細なガイダンス、およびAzure Active Directory(Azure AD)での条件付きアクセスポリシーの展開と構成に関するガイダンスに従ってください。
  2. ログと設定の確認と監査 Azure ADへのサインインや設定変更を確認し、監査します。この種の認証は、Azure ADサインインログAzure AD監査ログMicrosoft 365コンプライアンスセンター(旧Exchange Admin Center)を通じて監査されお客様に提供されます。先般、管理者権限を委譲されたパートナーによるサインインを確認する機能を追加しました。これはAzure AD管理ポータルのサインインログに移動し、フィルタ「Cross-tenant access type.Service provider」を追加することで、これらのサインインをフィルタリングして表示することができます。User-sign ins (non-interactive)」タブで「Cross-tenant access type: Service provider」というフィルタを追加します。

●既存のログの可用性と保持戦略の見直し:悪意のあるアクターによる活動を調査するためには、Office 365 を含むクラウドベースのリソースの適切なログ保持手順が重要になります。様々なサブスクリプションレベルには、個別のログ利用・保存ポリシーがあり、インシデント対応手順を策定する前に理解しておくことが重要です。

すべての組織は、サブスクリプション内で利用可能なログを熟知し、その適切性と異常性を日常的に評価することをお勧めします。また、第三者機関を利用している場合は、その機関と協力して、すべての管理操作に対するログの記録方法を理解し、インシデント発生時にログの提供が必要になった場合のプロセスを確立してください。

詳細情報およびガイダンスの提供

MSTICのブログでは、今回のNobeliumの活動について、観察された行動、検出に関するガイダンス、Advanced Hunting queriesによる調査などの詳細情報を掲載しています。