情報セキュリティの中心にあるのは、窃取したデータから地政学的あるいは金銭的に利益を得ようとする攻撃者から、データを守ることです。昨今、サイバー犯罪者によるデータ持ち出しによる「三重恐喝の詐欺行為」が増えています。犯罪者は、窃取したデータを返す、そのデータを破壊する、そして、返したデータに行われた変更を開示する、という行為で金銭を要求します。
では、攻撃チェーン全体を見ていきましょう。ただし、攻撃者がデータ持ち出しの目標を達成している、攻撃チェーンの最終段階から始めましょう。組織のデータというものは、誰にでもアクセスできる状態で放置されているわけではありません。データにはアクセスルールがあります。このルールでは、アクセスできる人が規定されています。例を挙げます。
- Microsoft 365 SharePoint サイトでは、機密ファイルをダウンロードできるユーザーを規定したアクセスルールがあります。
- ユーザーのマシンへのログイン認証情報は、そのデバイスのファイルにアクセスできるユーザーを規定するものです。
データがどこにあるにせよ、データへのアクセスの鍵となるものは、アイデンティティです。サイバー犯罪者はこれを理解しています。つまり、アイデンティティを手に入れることができれば、組織の宝にたどり着けるのです。そのため、攻撃を展開し、アクセスしたい目的のファイルにたどりつけるよう、権限昇格をおこなって、1 つのアイデンティティから別のアイデンティティへとラテラルムーブメントを行います。
こうした一連の動きには、攻撃者が脆弱なローカル管理者アカウントの認証情報を使用し、権限を昇格させて管理者のシャドウイングを行い、企業のファイルにアクセスするといった行動が挙げられます。侵害に成功した後に展開されるアイデンティティ侵害のラテラルムーブメントは、攻撃者が好む攻撃です。
攻撃者が目標を達成するためのメールの重要な役割
攻撃チェーンにおける動きを振る返ってみると、「攻撃者の最初の一手は何であったか?」、「まずどのようにして組織に侵入できたか?」といった疑問が生まれます。
アイデンティティのテーマに基づいて考えると、外部と接触のあるアイデンティティは、どこにでも存在するメールアドレスとなります。ディレクトリに記録されたユーザーの氏名、PC のログイン認証情報、Microsoft 365 アイデンティティといったすべてが紐づけられ、メールアドレスとして外部にさらされています。
残念ながら、攻撃者はこれを知っています。理由をご紹介します。
- メールは依然として、攻撃者が使用する最大の攻撃経路となっています。
- 攻撃者は変わらずメールを使用してマルウェアを送り込んでいます。
- ビジネスメール詐欺 (BEC) は、数十億ドル規模の被害をもたらすグローバル的に大きな問題です。
- 認証情報のフィッシングはメールで実行されます。
- メールは多くの攻撃者にとって、変わらず攻撃の最初の一手となっています。
また、こうした理由から、プルーフポイントは、「人」を保護することから始めることに焦点を当てています。攻撃者が人を標的にするときは、メールアドレス、アイデンティティ、そしてこうしたアイデンティティがアクセスできるデータを標的にしています。
そのため、プルーフポイントのアプローチはユニークです。攻撃者による最初の一手から目標達成までの動き、それに対抗する防御の「深み」を提供できるベンダーは、プルーフポイント以外にはありません。