攻撃者は「攻撃してこない」──AIもアイデンティティ管理対象に入る今、企業がすべき“動的な”対策手法

大手ビール会社・通販会社はこうやって襲われた

　では、具体的にどのような攻撃事例が観測されているのか。その前に、松本氏は以下2つの世界的に認知されたセキュリティ基準を紹介した。

　上記2つの基準を踏まえながら、具体的な事例について見ていこう。まずは昨年起こった、大手ビール会社と大手通販会社のケースが紹介された。前者は、被害が取引先企業や競合他社、消費者にまで波及した。後者においても物流を受託している複数企業のECサイトが停止するなど、一社のみにとどまらないレベルで影響が生じている。

　こういった被害は、いったいどの段階で拡大しているのか。まず、多くのインシデントはデータ漏えいやシステムの破壊といった被害が表面化した段階で初めて認識される。しかし、それは攻撃の最終的な結果にすぎず、実際の攻撃はユーザーとして認証された後に本格化しているという。

　『MITRE ATT&CKフレームワークv18.1』では、攻撃者の戦術が「1.偵察」から「14.インパクト」までの14段階で整理されている。上記の話を、このフレームワークに当てはめてみると、被害が表面化するのは「13.データ引き出し」「14.インパクト」だ。しかし、実際に攻撃が拡大するのは、その前段となる「6.権限昇格」や「10.横方向の移動」の段階である。

　攻撃の連鎖はこう進む。まず、管理されていない孤立アカウントなどを踏み台にして企業内に侵入、その後過剰に付与された権限を利用して別のシステムへと横移動していく。その結果、被害はアプリケーション、データ、インフラへと連鎖的に拡大する。つまり、サイバー攻撃における被害規模は「どこまで横移動できたか」で決まり、その横移動を可能にしているのが、盗まれたアカウントと権限なのだ（図2）。

　「攻撃者はアイデンティティと権限を通じて被害を拡大させているため、そこを制御できれば攻撃の被害を止めることができます。これが、アイデンティティセキュリティが重要になる理由です」（松本氏）