サイバーニュース.jp

世界のサイバーなニュースを配信

Google、UNC6040の脅威に対抗するセキュリティ強化ガイドを公開

カテゴリ:

, , , , , , , , ,

はじめに

Googleの脅威インテリジェンスグループ(GTIG)は、UNC6040による高度なボイスフィッシングや悪意のある接続アプリ攻撃から組織のSaaSセキュリティ体制、特にSalesforceを強化するための包括的なガイドを公開しました。IDの強化、SaaS固有の制御、高度なロギングと検出を組み合わせることで、セキュリティチームは認証情報の侵害や大規模なデータ流出のリスクを大幅に軽減できます。

サービスとしてのソフトウェア(SaaS)プラットフォームの保護には、人、プロセス、テクノロジーに焦点を当てた多層的なアプローチが求められます。UNC6040がSalesforce顧客に対するビッシングキャンペーンで成功を収めたことを踏まえ、Googleのガイドでは、以下の3つの防御フレームワークを概説しています。

  • プロアクティブな強化策
  • 包括的なロギングプロトコル
  • 的を絞った検出機能

Salesforceが主な焦点ですが、多くの推奨事項は、Okta、Microsoft Entra ID、Google Cloud Identityなどの集中型IDプロバイダーに依存するあらゆるSaaSエコシステムに適用されます。

UNC6040の攻撃概要

UNC6040は、多国籍企業の英語圏の支社に対するボイスフィッシングを専門としています。攻撃者は、説得力のある電話でITサポート担当者になりすまし、従業員を騙して悪意のある接続アプリ(SalesforceのData Loaderの偽物)を承認させます。一度承認されると、攻撃者は接続アプリのAPI認証情報を通じて、機密レコードを直接照会し、外部に持ち出すことができます。

注目すべきは、UNC6040がSalesforceのコードの脆弱性を悪用することはなく、すべての侵入がソーシャルエンジニアリングと正当なプラットフォーム機能の悪用に基づいている点です。いくつかのケースでは、初期アクセスから数ヶ月後に恐喝が発生しており、これは盗んだデータを身代金要求を通じて収益化する他の脅威アクター(例:ShinyHunters)との提携を示唆しています。攻撃者はまた、収穫した認証情報を使用して、同じVPNまたはTor出口IPから他のクラウドサービス(Okta、Microsoft 365)を標的にし、横方向の移動を行います。

プロアクティブな強化推奨事項

1. IDの検証と保護

  • ソーシャルエンジニアリングを阻止するための積極的なID証明を実装します。企業バッジまたは政府発行のIDチェックを伴うライブビデオ通話を要求し、従業員記録と相互参照します。
  • 高リスクの要求(MFAリセット、特権パスワード変更)については、マネージャーの承認や企業電話番号へのコールバックによる帯域外検証を強制します。
  • 生年月日、社会保障番号の下4桁、上司の名前など、簡単に侵害される識別子を避けます。
  • 代わりに、フィッシング耐性のあるMFA(FIDO2キー)を採用し、企業IdPを通じたシングルサインオン(SSO)を強制します。
  • デバイスの姿勢に基づいてアクセスを制限します。これには、ドメイン参加状況、有効なホスト証明書、承認されたOSバージョン、アクティブなEDRエージェントが含まれます。

2. SaaSアプリケーションの強化(Salesforceに焦点を当てて)

Salesforceインスタンスの場合、ネットワークおよびAPIアクセス制御を強化します。

  • プロファイルレベルでログインIP範囲を強制し、有効な認証情報があっても社外からのアクセスをブロックします。
  • 接続アプリに対して「デフォルトで拒否」の姿勢に切り替え、承認されたアプリの最小限の許可リストを維持します。
  • 「API有効」権限は、制御された権限セットを通じてのみ付与し、SSOを優先してネイティブアカウントを無効にします。
  • 最小特権プロファイルと権限セットを実装し、非管理者から設定メニューを非表示にします。
  • 行レベルの制限とプライベートな組織全体のデフォルト(OWD)を活用して、データ露出を最小限に抑えます。

ロギングと検出機能

UNC6040の「承認 → 流出」パターンを特定するには、Salesforce Shieldおよびイベント監視ログをSIEMに取り込みます。主要なログソースには、ログイン履歴、設定監査証跡、一括API結果、APIイベントストリームが含まれます。迅速なアラートのためにリアルタイムストリーミング(RTEM)を有効にし、履歴分析のために定期的なバッチエクスポートをスケジュールします。

検出パターン

  • OAuth → 10分以内のデータ流出:不審な接続アプリの承認に続き、同じユーザーによる非企業IPからの大量ダウンロードまたは高ボリュームのSOQLクエリをフラグ付けします。
  • OAuth → 横方向の移動:Salesforce OAuthの成功と、1時間以内に同じリスクのある出口IPからのOktaまたはMicrosoft 365ログインを関連付けます。
  • REST APIページネーションバースト&大量レポートエクスポート:非統合アカウントによるクエリバーストと過大なレポートダウンロードを特定します。

ノイズを最小限に抑えるために、既知の統合ユーザー、企業出口CIDR、承認された接続アプリ名などの参照リストを維持および調整します。承認されたデータ移行やベンダーオンボーディングイベント中は、ルールを抑制します。

結論

これらの強化策、SaaS固有の構成制御、および高度な検出ルールを統合することで、組織はUNC6040および同様のソーシャルエンジニアリング脅威クラスターに対して回復力のある防御を構築できます。Googleのガイドは、ID、アプリケーションの強化、継続的な監視全体で保証を高めるための実用的な手順を提供し、セキュリティチームが進化するビッシングおよびデータ窃盗技術の先を行くのに役立ちます。

元記事: https://gbhackers.com/google-security-hardening-guide-unc6040/

投稿をさらに読み込む