2024年8月1日

2023年のMGMハックを分析

ディープインスティンクトとともに、2023年のMGM襲撃事件の事後調査を行いました。何が問題だったのか、攻撃を防ぐために何ができたのか、Deep Instinctがあれば何が変わったのかについて、解説します。

2023年後半、MGMリゾートは、約1億米ドルの損害を被ることになるランサムウェアによるサイバー攻撃を受けました。この攻撃は、AlphVのサブグループであるShatteredSpiderによって行われ、侵入から悪用まで迅速に進行されました。ソーシャル・エンジニアリングの手口、インジェクション、そして不適切なセキュリティ対策によって、ShatteredSpiderはここ数年で最も注目を集めた攻撃の1つを成功させました。そして、それは本来は防ぐことができたはずでした。

MGM の攻撃 

攻撃の第一段階では、ShatteredSpider(最近MGMのハッキングに関連して (17歳のメンバーが逮捕 されましたは、LinkedInを使ってMGMの従業員に関する情報を集め、従業員になりすまして、MGMITヘルプデスクへの電話をかけました。そのアクセスを利用して、ShatteredSpiderはヘルプデスクに自分たちにアクセスを許可するよう説得し、既存のあらゆるセキュリティ制御を迂回することができました。その後、攻撃者はすぐに永続性を確立し、sniffersをインストールし、AzureWindowsOktaの主要な管理者認証情報を流出させました。MGMはこの時点で、ShatteredSpiderワナにかかって動けなくなってしまった虫のようでした。認証情報がすでに流出していたため、MGMは重要なインフラをシャットダウンすることでサイバー攻撃を阻止しようと試みましたが、失敗に終わりました。

サービスがオンラインに戻るとすぐに、ShatteredSpiderは流出した認証情報と永続性を使ってメインのターゲットを攻撃することができました。彼らは、100台のESXiハイパーバイザーを持つVMware上で稼働するMGMの重要なビジネスサービスを特定しました。この1つの標的を攻撃することで、ホテルの予約システム、ギャンブル、スロットマシン、デジタルキールームアクセスなど、多くのものに大規模な混乱が生じました。クラウド・サービスへの通信経路を確立した彼らは、MGMの顧客データ/PII(個人情報)を流出させ、100台のESXi VMwareハイパーバイザーにランサムウェアを展開しました:MGMの全仮想サーバーと一部の仮想デスクトップ環境です。これこそ正念場でした。 

成功した攻撃のシナリオを書き換えてみる  

サイバー攻撃後に正しい教訓を学ぶことは、修復と次の攻撃への準備にとって重要な部分です。MGMのような注目度の高い攻撃が発生した場合、サイバーセキュリティ業界全体が、その攻撃を分析、解剖し、最終的に何がうまくいき、何がうまくいかなかったかを確認するためのバトルゲームを行う機会が得られます。攻撃の初期段階については、誰もが対応の難しさを認めているはずです。攻撃ポイントから人的要素を取り除くようなポリシーやトレーニング、便利なツールは存在しません。悪意ある攻撃者が使用するツールは複雑で、効果的であり、かつ柔軟です。AIの台頭により、その危険性は増すばかりで、AIによって作成されるフェイク音声や映像によるなりすましは、この危険性を示すよい例です。

最初の侵入はステップ1に過ぎません。本当の攻撃はビッシングの後、数時間から数日にかけて行われました。攻撃者はsniffersをインストールし、重要なインフラ部分を侵害しました。本来は検知と対処が行われるべきですが、この攻撃を検知するのに時間がかかりすぎてしまい、適切に対応するのにさらに時間がかかってしまったことは、結果からも明らかです。

もしDeep Instinctがあった場合、 この"検知しと対処 "が求められるようなタイミングで、攻撃を遅らせるだけでなく、完全に防ぐことができたことが確認されています。ShatteredSpiderの攻撃は巧妙でした。ペイロードはハイパーバイザーレイヤーに直接配信されており、エンドポイントやストレージでステージングされたり、電子メールで配信されたりすることはありませんでした。このため、攻撃を防ぐポイントはハイパーバイザー層とインターネット配信の2つに絞られます。私たちのテストでは、Deep Instinctは両方のポイントを保護することができました。

ハイパーバイザ層で動作する Deep Instinct EPP は、ペイロードが実行される前に検出し、隔離しました。同様に、APIまたはICAPを介してインターネットレイヤーに統合された Deep Instinct Prevention for Applications (DPA) このペイロードを防ぐことができています。 

結果振り返り、DIANNA、やり直し 

MGMは、ソーシャル・エンジニアリング攻撃が成功した瞬間に状況をコントロールできなくなりました。ハイパーバイザー・パーティション、セカンダリー・クレデンシャル、スキャン、その他の業界標準のセキュリティ・コントロールが欠如していたため、いったん攻撃者が永続性を確立し、管理者クレデンシャルが流出したあとは、その場所で自由に動き回れたことになります。先に挙げたような防御機能があれば、少なくともMGMは守りを固めることはできたでしょうが、攻撃を完全に防げかというとそうとは限りません。

残念ながら、サイバーセキュリティ業界の価値訴求の多くは、真の予防ではなく、迅速な対処による被害の軽減です。さまざまな技術を使った多層的な防御によって、うまくすれば出血を早く止めることはできたことでしょう。このサイバーセキュリティの考えは、皮肉にも1つの重要な質問を提起することになります:「ではどこまでの損失を覚悟していますか?」MGMのような大企業であれば、この考えに基づいてサイバー攻撃からの防御にうまく成功したとしても、その損失は非常に高くつく可能性があります。

ディープインスティンクとがセキュリティ業界の大多数のメーカーと大きく違うところは、予防に重点を置いている点です。今回の攻撃でも、ソーシャルエンジニアリングによって初期のアクセスを許してしまった人的要素を除けば、ディープインスティンク のDPEおよびDPAはMGM攻撃の実質的な中心部分を防ぐことができたでしょう。そうすればここまでの被害を受けることはなかったし、少数のアカウントだけが漏洩するという”侵害を前提”とする考えであれば成功ともいえる事態すらも起こることはありませんでした。MGM攻撃で使用された悪意のあるペイロードは、Deep Instinctによってスキャンされていれば、実行前に即座にキャッチされ、隔離され、削除することができていました。そしてDIANNAを使えば、MGMはそのペイロードがなぜ検知され、隔離されたかをすぐに突き止めることができたはずです。 

私たちの生成AIを搭載したサイバーセキュリティアシスタントであるDIANNAは,、Alphvランサムウェアが悪質である理由を、その判断に使用したポイントなどを含めて、ほぼ即座に(7秒で)わかりやすい言葉で教えてくれました。これによりすぐに攻撃を阻止するだけでなく、攻撃を調査するためのフレームワークを構築することができます。これは、いくつかグループのにとって大きな利点があります:

  • SOC チーム: 効率とストレスの両面で、SOC チームは効果的な予防ファーストのサイバーセキュリティによる利益を最も受けます。SOC 専門家の間で燃え尽き症候群の割合が増加していることを考えると、彼らの使命をサポートするツールは非常に貴重です。SOC 専門家の燃え尽き率の詳細については、ディープインスティンクとの 2024 Voice of SecOps reportご覧ください。

  • MGMの経営陣: 優れた予防型のサイバーセキュリティは、組織のリスクを軽減し、信頼を高めます。予防ファーストのアプローチは、現在のサイバー攻撃によって引き起こされる組織の評判や予算への千差万別のダメージを排除します。  
  • MGM のお客様: 個人データが盗まれることは、消費者にとって非常に危険であり、詐欺、個人情報の盗難、その他の標的型攻撃のリスクにさらされます。情報漏洩を一切許さないことは、信頼を高め、個人データの盗難を許すことによるその後の法的・個人的な影響を軽減します。

目新しさは武器です。ほとんどの場合、それは非常に効果的なものです。ディープフェイクの登場は、ソーシャル・エンジニアリング攻撃に革命をもたらしました。悪意のあるAIも同様にサイバー攻撃に革命をもたらしています。悪意ある攻撃者がセキュリティを突破してシステムにアクセスする方法は、これまで以上に増えています。AIによる革新は、既存のサイバーセキュリティを回避する斬新な方法を産み、攻撃を常にリフレッシュし、アップデートすることを可能にしています。それに追いつくためには、防御側にも同じように高度なAIを活用して対応できるツールが必要です。

予防ファーストのアプローチの威力をご自身の目でお確かめください。こちらからぜひデモをリクエストください。