APT29

脆弱性

TeamCityの脆弱性と攻撃:対策のススメ

- 継続的インテグレーション/継続的デリバリー(CI/CD)ツールにおけるリスク 継続的インテグレーション/継続的デリバリー(CI/CD)ツールは、ソフトウェア開発を自動化し、効率性を高める上で、今や欠かせないものとなっています。しかし、便利な反面、これらのツールはサイバー攻撃の格好の標的となりうるという側面も持ち合わせています。特に近年では、国家の支援を受けた高度な持続的脅威(APT)グループが、CI/CDツールを狙った攻撃を活発化させており、組織にとってより深刻な脅威となっています。 CI/CDツールは、その性質上、ソースコードや認証情報、開発環境へのアクセスなど、機密性の高い情報や重要なシステムへのアクセス権限を多く保有しています。もしも攻撃者がこれらのツールへの侵入に成功した場合、ソフトウェアの改ざんや機密情報の窃取、さらには開発システム全体を危険にさらす可能性も出てきます。例えば、悪意のあるコードをソフトウェアに埋め込まれ、気づかずにリリースしてしまうことで、利用者のシステムにまで被害が及ぶことも考えられます。 このようなリスクを軽減するためには、組織はCI/CDツールに対するセキュリティ対策を強化することが重要です。具体的には、ツールのアクセス制御を厳格化し、多要素認証を導入する、セキュリティ更新プログラムを迅速に適用する、といった対策が有効です。また、CI/CDツールへの不審なアクセスや活動がないかを常時監視し、早期に攻撃を検知できる体制を構築することも重要です。
認証

見えない脅威:ゴールデンSAML攻撃から身を守るには

昨今、多くの会社で、インターネットを通じて様々な業務システムが使えるクラウドサービスの利用が増えています。それに伴い、いくつものサービスを利用する際に、それぞれでログインするのではなく、一度のログインで全てのサービスにアクセスできる仕組みであるシングルサインオンの重要性が高まっています。 SAML(セキュリティ・アサーション・マークアップ・ランゲージ)は、このシングルサインオンを実現するための規格として広く普及していますが、その安全性を脅かす「ゴールデンSAML攻撃」と呼ばれる巧妙なサイバー攻撃が問題となっています。 ゴールデンSAML攻撃とは、攻撃者が、本来アクセス権を持たないユーザーになりすますために、正規のSAMLトークンを偽造する攻撃手法です。SAMLトークンとは、ユーザーが特定のサービスへのアクセスを許可されていることを証明する電子的な印鑑のようなものです。 この攻撃は、まるで合鍵を作るように、重要な認証情報を複製して不正アクセスを実現してしまうことから、「ゴールデンSAML」と名付けられました。 攻撃者は、まず標的となる組織のネットワークに侵入し、SAMLトークンを発行するサーバーの管理者権限を盗み取ります。そして、その権限を利用して、任意のユーザーになりすました偽のSAMLトークンを生成します。 この偽のトークンを使うことで、攻撃者は本来アクセスできないはずのシステムやデータに不正にアクセスできてしまうのです。
サイバー犯罪

APT29:国家の後ろ盾を 持つサイバー脅威から身を守る

- ステルス性の高い脅威、APT29とは APT29は、高度な技術と豊富な資金力を駆使し、特定の国の支援を受けていると疑われているサイバー攻撃集団です。その活動は、高度な持続的脅威(APT)として分類され、まさに影の存在のように、発見されることなく、長期にわたって執拗に攻撃を続けることを特徴としています。 APT29は、ロシアの対外情報機関との関連が指摘されており、「IRONRITUAL」や「CozyBear」など、複数の別名でも知られています。彼らは標的とする組織に深く潜り込み、何ヶ月、あるいは何年もかけて機密情報を探し出し、盗み出すことを目的としています。 彼らの攻撃は、標的のセキュリティ対策を巧みに回避する高度な技術を用いており、発見が極めて困難です。さらに、常に最新の攻撃手法を取り入れているため、従来のセキュリティ対策では太刀打ちできない可能性があります。APT29は、政府機関、防衛産業、シンクタンクなど、国家にとって重要な情報を保有する組織を標的とする傾向があり、その脅威は計り知れません。