サイバーニュース.jp

世界のサイバーなニュースを配信

サービスデスクが新たな攻撃ベクトルに:防御策とは?

カテゴリ:

, , , , , , , , ,

サービスデスクが新たな攻撃の最前線に

現代のサイバー攻撃において、攻撃者はもはやシステムの脆弱性だけでなく、「人」を標的にしています。特に、企業のサービスデスクは、多くの組織にとって最も脆弱な「新たな境界線」となりつつあります。Scattered Spiderのような脅威アクターは、ソーシャルエンジニアリングを科学の域にまで高め、ヘルプデスクのエージェントを主要なターゲットとしています。巧妙な電話一本で、日常的なパスワードリセットがドメイン全体のアクセス権奪取につながる可能性を秘めているのです。

MGMリゾーツやCloroxの事例は、ソーシャルエンジニアリング攻撃がいかに壊滅的な影響をもたらすかを示しました。数億ドル規模の事業損失と数週間にわたる業務中断は、決して偶然ではなく、攻撃者の典型的な手口となっています。

トレーニングだけでは不十分な理由

エージェントのトレーニングはもちろん重要ですが、それだけでは防御にはなりません。ソーシャルエンジニアは、時間的プレッシャーの下にある「親切な人間」を悪用するスペシャリストです。スクリプトや「常識」、場当たり的な質問は、冷静で準備万端、説得力のある攻撃者の前では簡単に崩壊してしまいます。もし最後の防衛線が、過重労働のエージェントによる判断に委ねられているのであれば、すでに敗北していると言えるでしょう。

結論として、ユーザー認証はエージェント主導の会話ではなく、セキュリティ部門が所有するワークフローであるべきです。

NIST準拠のワークフローでヘルプデスクを強化

一貫性があり、記録され、強制力のある正式なITセキュリティワークフローに認証プロセスを移行することで、ソーシャルエンジニアリング攻撃を阻止できます。

  • 必須の制御:エージェントは認証情報を直接扱ったり、閲覧したりしない。ワークフローがこれを処理します。
  • ロールベースの認証:役員、管理者、財務担当者、契約社員など、ペルソナのリスクに応じてチェックの深さを調整します。高リスクの役割にはより強力な証明が求められます。
  • ポイントベースの柔軟性:電話の故障やMFAの利用不可など、現実の状況に対応するため、複数の証明タイプを使用し、合計スコアが合格基準に達するようにします。
  • ITSM連携:エージェントは通常のツール(例:ServiceNow)を使い続け、チケットが自動的に認証フローを起動し、結果とテレメトリーをチケットに返します。

このワークフローアプローチは、エージェントからセキュリティ専門家としての負担を取り除き、ストレスの少ないチケット処理と、より一貫性のある迅速なサービス提供を可能にします。これは単なるセキュリティ強化だけでなく、サービス品質の向上にも繋がります。

NIST準拠の認証プロファイル例

多くの組織では、ユーザーのリスクと利用可能な要素に基づいて、以下の3つの認証プロファイルから導入を開始します。

  • プロファイル1(標準ユーザー – 低保証):標準的な従業員のパスワードリセットなど、日常的なリクエスト向け。
    • 方法:登録済みの企業認証アプリ(Okta Verify、MS Authenticator)へのプッシュ通知。
  • プロファイル2(特権ユーザー / 機密性の高い操作 – 高保証):ドメイン管理者、財務管理者、または機密性の高い変更を要求するユーザー向け。
    • 方法:2つの異なる要素を要求。例:認証アプリのプッシュ通知成功 AND 登録済みの企業メールアドレスへのワンタイムコード、またはHRISシステムからの非公開属性に基づく質問(例:「従業員ID番号は?」)。
  • プロファイル3(緊急時 / MFA障害 – 柔軟な保証):ユーザーが主要なMFAデバイスを紛失した場合向け。
    • 方法:ユーザーは複数の選択肢から合計100ポイントを獲得する必要があります。
      • 登録済みの個人メールアドレスへのワンタイムコード:(50ポイント)
      • 登録済みの個人電話番号へのワンタイムコード:(50ポイント)
      • MDMからのデバイスシリアル番号の確認:(60ポイント)
      • HRISシステムからの非公開属性に基づく質問(例:「従業員ID番号は?」):(50ポイント)

ヒント:MFAが普遍的に利用できない場合、推測されやすい個人的な情報よりも、企業検証済みのデータ(HRIS/IDP属性、デバイスの姿勢、地理/行動信号)を優先してください。質問リストは短く厳選し、漏洩したり侵害で明らかになったりした質問は廃止しましょう。

早期の攻撃検知と完全な記録

認証がワークフロー内に組み込まれることで、セキュリティ上のメリットが自動的に得られます。

  • 早期警告:同じユーザーや役割に対する認証失敗の急増は、攻撃の兆候です。SecOpsに自動で警告を発します。
  • 監査証跡:すべての試行、要素、スコア、結果がチケットに記録されます。
  • コンプライアンス:自動化されたレポートにより、サービスデスク全体で一貫した制御が実施されていることを証明します。

サービスデスクを停止させない導入計画

以下の共通の特性を持つ導入計画が推奨されます。

  • 要素とギャップの棚卸し:MFAを利用しているユーザーとそうでないユーザーは?知識チェックに適した安全なデータは?
  • 3つのプロファイルの定義:低/中/高リスクの役割にマッピングし、合格しきい値を100に設定します。
  • ITSMとの統合:ユーザーIDとカテゴリを使用してチケット(例:ServiceNow)からフローをトリガーし、結果とテレメトリーを書き戻します。
  • プロセス重視のトレーニング:エージェントは「ワークフローに従う」という一点に集中してトレーニングを受けます。
  • 測定と調整:失敗率、解決までの時間、エスカレーション、誤拒否を追跡し、四半期ごとにスコアリングと質問を調整します。

FastPassCorpのIdentity Verification Manager(IVM)は、このモデルを実装し、必須のロールベースおよびポイントベースの認証をITSMと緊密に統合します。これにより、チェックを一元化し、ポリシーを強制し、アラート、監査、コンプライアンスのために結果とコンテキストをチケットに返します。Scattered Spiderのような戦術に直面している場合、これは最初の段階で攻撃を阻止するガードレールとなります。

まとめ

ソーシャルエンジニアリングは、単に「より良いポスター」や「より長いスクリプト」では打ち破れません。裁量を排除し、証明のハードルを上げ、攻撃者が悪用しようとするワークフローを「制御されたもの」にすることで、サービスデスクはもはやソフトターゲットではなく、適切なセキュリティ制御として機能するようになります。

元記事: https://www.bleepingcomputer.com/news/security/your-service-desk-is-the-new-attack-vector-heres-how-to-defend-it/

投稿をさらに読み込む