攻撃者は、露出したRDPからフィッシング、悪用されたRMMツール、未パッチのソフトウェアに至るまで、防止可能なエンドポイントの弱点を悪用します。これにより、規律あるコンフィグレーション、ユーザートレーニング、タイムリーなパッチ適用が、脅威行為者を締め出すために重要になります。
攻撃者は絶えず動き回り、システム内のネットワーク接続デバイスの脆弱性を探しています。これらのデバイス(ラップトップ、デスクトップ、サーバー、IoTなど)は、脅威行為者が押し入るのを待つロックされていないドアのようなものです。そしてここが重要なポイントです:これらの脆弱性の多くは非常に一般的で、簡単に防止できます。
300万台のエンドポイント(悪くないサンプルサイズです!)全体で最頻繁に追跡している弱点を分解して、脅威行為者がこっそり入り込んで混乱を起こす前にそれらの穴をふさぐために何ができるかを見てみましょう。
リモートデスクトッププロトコル(RDP):開かれた裏口
リモートデスクトッププロトコルは、リモート接続に使用される広く普及しているプロトコルですが、脅威行為者がエンドポイントデバイスにアクセスする最も一般的な方法の1つでもあります。実際、最大70%の組織がRDPをパブリックインターネットに露出させています。露出したRDP接続を、玄関前にスペアキーを置いておくことのようなものだと考えてください。それは視界に直接入るわけではありませんが、中に入りたい場合は誰もが見つけそうな非常に明白な場所です。
以下は何が起こるかの例です:
攻撃者はしばしばRDPに対してブルートフォース攻撃を使用し、ログインセッションのロックを解除するまでパスワードオプションを循環させます。初期侵入が確立されると、彼らは通常、マルウェアを落としてネットワーク全体での横方向の動きを試みるのに時間を浪費することはありません。
ブルートフォースの成功的な使用を示すイベントログの例。
あなたができることは:
- 本当に必要な場合を除き、RDPをパブリックインターネットに露出させないでください。
- 管理者権限には気をつけてください。実際に仕事をするためにアクセスが必要な人のことを考えてください。
- パスワードに頼らないでください。それは古風で(そしてはるかにリスクが高い)、RDPセッションの多要素認証(MFA)を実装してください。
- Windowsセキュリティ設定については注意を怠らないでください。デフォルト設定では、ネットワークへのアクセスを望む攻撃者に対抗するのに十分ではありません。
- 不明なIPアドレスからのログインなど、疑わしいアクティビティに目を光らせてください。
フィッシング攻撃:誘いに乗らないでください
メールフィッシングは古典的なサイバー犯罪戦略であり、時代遅れにはならないものもあります。毎日、フィッシングメールはメールボックスに届き、驚くべき数の被害者がまだソーシャルエンジニアリング詐欺に引っかかっています。これはどう考えても新しい戦術ではありませんが、脅威行為者は機能するため、それに依存し続けています。フィッシングはすべてのデータ侵害の15%を占めています。しかし、最近のフィッシング攻撃でさらに危機感を増しているのは、特に脅威行為者が生成AIツールに目を向けてソーシャルエンジニアリング戦術を加速させているため、より巧妙になっていることです。専門的に模倣されたブランディングから緊急要求を含む偽請求まで、ハッカーは被害者をクリックさせたり、「カスタマーサービス」に対して電話で個人情報を与えるようにだましをレベルアップさせています。フィッシングはもはやメールだけではありません。ハッカーはあらゆる種類の通信メカニズムを使用します:メール、テキスト、電話、音声メール、QRコード、またはこれらのアプローチの任意の組み合わせ。
以下は何が起こるかの例です:
メールフィッシングを見てみましょう。従業員がフィッシングメール内の悪意あるリンクをクリックすると、知らず知らずのうちに機密認証情報を攻撃者に引き渡したり、システムにマルウェアをインストールしたりする可能性があります。あるいは、さらに悪いことに、ランサムウェア攻撃を引き起こすかもしれません。フィッシングは多くの場合、被害者の感情を悪用して迅速な反応を得るための圧力戦術を使用します。攻撃者はネットワークと機密情報へのアクセスを持ち去ります。あなたはその混乱の後始末を残されます。攻撃者がエンドポイントへの永続性を得ており、すぐに損害を見つけられない場合、あなたが予期していた以上に大きな混乱になる可能性があります。
機密情報を求めるメールが届きましたか?攻撃者の罠に引っかかるのを避けるため、送信者に直接返信しないでください。
悪意あるなりすまし糸スレッドメールフィッシング攻撃の例。
あなたができることは:
- 組織にフィッシング戦術を理解させてください!定期的にスケジュール化されたセキュリティ認識向上トレーニング(SAT)は、ユーザーが不安な要求に飛びつく可能性を低くすることができます。奇妙なメールが現れたときにその「スパイダーセンス」が刺激されるようにしたいのです!
- MFAを使用してください。認証情報が(いつかは)侵害される場合、損害を軽減することができます。
攻撃者がエンドポイントへのアクセスにフィッシングをどのように使用するかについて詳しくは、Tradecraft Tuesday: 「フィッシング – ファストレーン」を確認してください。
リモート監視・管理(RMM)ツール:両刃の剣
RMMツールは両刃の剣です。一方では、ITの管理者、マネージドサービスプロバイダー(MSP)、システム管理者がコンピュータのフリートを簡単に監視、管理、トラブルシューティングするのに役立ちます。一方、不安全に放置されている場合(多くの場合、そうされている)、RMMツールはエンドポイントに対する攻撃者にとって簡単な入口となります。Huntress 2025年サイバー脅威レポートによれば、すべてのリモートアクセス方法の17.3%はRMMの悪用から発生しました。脅威行為者は混じり込んで目立たないようにしたいと考えており、正当なRMMツールはそのための簡単な方法です。
最も悪用されたリモートアクセスツール。出典。
以下は何が起こるかの例です:
攻撃者はRMMソフトウェアとツールを悪用して、デバイスを侵害するための無許可のリモートアクセスを取得します。既存のRMMを使用するか、自分たち自身のものをインストールするかにかかわらず、組織全体のすべての接続デバイスを制御する可能性があり、正当なソフトウェアの外観の下に潜んでいます。RMM攻撃は危険です。なぜなら、攻撃者がマルウェアを落とさずに検出システムの下をくぐり抜け、横方向に動き回り、永続性を取得するリスクがあるからです。
攻撃者がRMMを悪用する方法は一般的に2つあります。第1に、彼らは古い、パッチが当たっていない、または誤って設定されたツールを悪用することによって、または認証情報を盗んでRMMツールにリモートでログインすることによって、既存のソフトウェアをハイジャックまたは悪用することができます。第2に、ソーシャルエンジニアリングまたはポータブル実行可能ファイルを介して、攻撃者の好むRMMツールをデプロイしてインストールすることができます。
ポータブル実行可能ファイルは、管理者権限と完全なソフトウェアインストールを回避する能力で注目に値します。ローカルユーザーアクセスを攻撃者に付与します。ネットワーク上でRMMソフトウェアをブロックまたは監査することになっている場合でも、ポータブル実行可能ファイルは管理者権限を必要としないため、脅威行為者にネットワークへの無料パスを与えます。それは脅威行為者がマルウェアを使用せずに検出されずに環境に落ちるため、悪夢のようなものです。
RMMツールはエンドポイントをより安全にする必要があり、より安全でなくする必要はありません。これらの設定を強化し、潜在的な悪者を締め出してください。
正当なRMMツール侵害の例。
あなたができることは:
- ロールベースの権限を使用してください。それらは王様です。ゲストリストに乗っていなければ、RMMソフトウェアパーティーへのアクセス権がありません。
- RMMソフトウェアに対する脆弱性とバグ修正に対処するために更新とパッチを適用してください。
- アクティビティログで不審な活動をモニタリングしてください。不正なインストールまたは奇妙なログインは赤旗であるはずです。
- ネットワーク内にあることになっているRMMツールのタイプを知ってください。監査、追跡、監視して、無許可のインスタンスが目立つようにしてください。
RMMツールのセキュリティを保つ方法についての詳細は、以下を確認してください:
- ScreenConnectサーバーがハッキングされていると思いますか?ここで探すべきものがあります。
- 脆弱性が再現:ScreenConnect 23.9.8をすぐにパッチしてください
- インサイト:RMMツール
パッチが当たっていないソフトウェア:ネットワークへの開かれたドア
パッチが当たっていないソフトウェアは、サイバーセキュリティ上、玄関を開いっ放しにしておくのと同じです。はい、風は気持ちいいかもしれませんが、ほとんどの場合、それは完全に開いておくことはないでしょう。それはあまりにもリスキーです。あなたのペットや子供が逃げ出す可能性があり、野生動物が自分たちの家にすることができ(誰がアライグマをキッチンに欲しい?)、さらに悪いことに、盗賊が単に入ってくることができます。
あなたがこのタイプのリスクに物理的な環境を露出させないのであれば、なぜそれを仮想的に許すのですか?
以下は何が起こるか:
ソフトウェアベンダーはさまざまな理由でパッチをリリースしますが、多くの場合、一般に知られたセキュリティ脆弱性を修正するために、通常はCVEと呼ばれています。攻撃者はこの公開情報を使用して、古いソフトウェアとシステムをターゲットにします。パッチが当たっていないフロー1つの例は、攻撃者がランサムウェアまたはマルウェアを落とす、またはデータ侵害を実行する機会です。新しい脆弱性が出現すると、脅威行為者が利用する前にシステムをパッチする時間との競争に直面しています。
ソフトウェアを定期的に更新していない場合、エンドポイントは不要なリスクにさらされています。ドアは望まない客のために広く開かれています。それが単純なことです。
古い Veeamソフトウェア内の CVE-2023-27532 を悪用する PowerShell スクリプトの例。
パッチを当ててください:
- 可能な限りどこでも自動更新をセットアップしてください。言い訳はありません。
- 定期的なパッチ管理スケジュールを維持してください。
- すべての脆弱性が同じように作成されるわけではないため、パッチ優先順位付けの戦い計画を立ててください。
積極的に行動して、保護を維持してください
エンドポイント脆弱性は弱点である必要はありません。適切な戦略とツールで管理できます。フィッシングトレーニング、エンドポイント検出と応答(EDR)ソリューション、RMM監査、パッチスケジュール、強力な認証措置はほんの始まりです。
攻撃者がそれらをターゲットにする前に行動を起こしてシステムをセキュリティ保護する時間です。それを偶然に任せないでください。サイバーセキュリティツール、チームを訓練し、セットアップに合ったエンドポイント保護ソリューションを実装してください。
Huntressでの保護の詳細については、ここを参照してください。
