権限昇格とは？

Bart Lenaerts-Bergmans - 11月 6, 2023

組織がリモートワーク機能と大規模なクラウドシステムへの依存度を高めるにつれて、サイバー攻撃に対する脆弱性が高まります。権限昇格攻撃は一般的で複雑な脅威であり、あらゆるネットワークが標的になる可能性があります。
任意のアセットが侵入者のエントリポイントになり得る場合は、組織に複数の防御戦略が必要です。権限昇格プロセスを理解することは、広範なネットワーク攻撃の防止と防御に向けた重要な第一歩です。

権限昇格とは

権限昇格攻撃は、システムに不正な権限でアクセスするように意図されたサイバー攻撃です。攻撃者は、人間の振る舞い、あるいはオペレーティングシステムやウェブアプリケーションの設計上の欠陥またはミスを悪用します。これは、ラテラルムーブメント（サイバー攻撃者が価値の高いアセットを求めてネットワークの奥深くに移動する戦術）と密接に関連しています。

この攻撃により、内部ユーザーまたは外部ユーザーが不正なシステム権限を獲得することになります。侵害の程度に応じて、悪意のあるアクターは軽微または重大な損害を与えることができます。つまり、単なる不正なEメールだったり、膨大な量のデータに対するランサムウェア攻撃だったりします。攻撃が検知されないでいると、オペレーティングシステムに対する持続的標的型攻撃（APT攻撃）が発生する恐れがあります。

Expert Tip

権限昇格について誰が理解しておくべきか知りたいと思うかもしれません。その答えは、「全員」です。ログインユーザーは、どんなに初歩的であっても、最初の被害者になる可能性があります。破壊的な攻撃はあらゆる種類の有効な認証情報の取得から始まると考えられるため、アカウントが侵害されると、ネットワーク全体にとって問題となります。

権限昇格の仕組み

攻撃者は、通常、人間の行動を操ることを基本とするソーシャルエンジニアリング手法から始めて、権限昇格を実行します。最も基本的なものは、フィッシング（有害なリンクを含む電子通信）です。攻撃者が個人のアカウントを侵害すると、ネットワーク全体が曝露されます。

攻撃者は、認証情報の窃取を通じて最初のエントリーまたは基本的な権限を許可する、組織の防御上の弱点を探します。以下で詳しく説明するように、このような脆弱性を悪用すると、さらに権限を昇格させることができます。したがって、効果的な戦略では、防御、検知、および迅速なアクションのための手法を組み合わせる必要があります。

権限昇格手法

権限昇格手法は、ローカルまたはリモートで実行できます。ローカルの権限昇格は、一般に組織内の誰かによってオンサイトで開始されます。リモートの昇格は、ほとんどどこからでも開始できます。決然とした攻撃者にとっては、どちらのアプローチも効果的です。

権限昇格の主な種類

攻撃は、主に次の2種類に分類されます。

水平権限昇格（またはアカウントの乗っ取り）の場合、攻撃者は、下位レベルの権限を持つ標準ユーザーアカウントへの特権アクセス権を取得します。侵入者は、従業員のユーザー名とパスワードを盗み、Eメール、ファイル、および従業員が属するウェブアプリケーションまたはサブネットワークにアクセスできるようにします。この足がかりを得ると、攻撃者は、ネットワーク内を水平に移動し、同様の権限を持つアカウント間で特権アクセス権の範囲を拡大できます。

垂直権限昇格（または権限昇格）の場合も始まりは似ています。攻撃者は、足がかりを利用して垂直方向の権限昇格を試み、より高い権限持つアカウントへのアクセス権を取得します。例えば、ITヘルプデスク担当者やシステム管理者など、管理者権限またはrootアクセス権限を持つアカウントが標的になる場合があります。特権アカウントは、他のアカウントに侵入するために使用できます。

垂直権限昇格と水平権限昇格の違い

簡単に言えば、水平権限昇格とは、元のアカウントと似た権限を持つアカウントへのアクセス権を取得することです。これに対し、垂直権限昇格の場合は、より多くの権限とアクセス許可を持つアカウントへのアクセス権を取得します。攻撃者は、標準ユーザーアカウントから始め、それを使用して、管理者権限を持つより上位レベルのアカウントを侵害すると考えられます。

アカウントが備える権限が多いほど、悪意のあるアクターによる直接的な損害が大きくなります。それがITヘルプデスクアカウントであれば、標準ユーザーアカウントに損害を与える恐れがあり、それ自体が垂直昇格のポイントになる可能性があります。また、侵害されたアカウントの数が増えるにつれてネットワークへのリスクも高まるため、水平攻撃も危険です。あらゆる脆弱なポイントが、攻撃者がシステムを深く掘り下げて調べるための入り口であるため、水平攻撃と垂直攻撃の両方に迅速に対処する必要があります。

その他の種類の権限昇格手法

サイバー攻撃者は、アカウントに侵入してシステムを侵害するための新しい方法を常に開発していますが、依然としてフィッシングが広く使用されています。攻撃者は、広範で無差別的であるか、慎重に標的が絞られているかにかかわらず、こうした偽のメッセージを立案し、ユーザーをだまして認証情報を共有させたり、マルウェアをダウンロードさせたり、ネットワークを公開させて不正使用できるようにします。

その他の種類のソーシャルエンジニアリング攻撃には、以下のものがあります。

サイバースクワッティングまたはタイポスクワッティング：URLをハイジャックするか、偽のURLを作成してクリックを誘導します。攻撃者は、偽のトップレベルドメイン（Sample.co、.cm、.orgなど、.comではない）を使用するか、スペルを微妙に変えた名前（Sampe.com、Sarnple.com、Samp1e.comなど）を使用します。
パスワードの露出：ユーザーが自発的にパスワードを公開し、友人や同僚と共有していることがあります。無意識のうちにそうしていることが多く、職場環境内のわかりやすい場所にパスワードを書き留めていたり、パスワードを推測しやすいものにしていたりする場合があります。
セキュリティ質問の露出：ユーザーがパスワードを忘れることは珍しくありません。その場合、通常は新しいパスワードを作成するためにセキュリティ質問に答える必要があります。ソーシャルメディアのおかげで、セキュリティ質問に対する回答は、これまでになく簡単に見つかります。（「誰も知らないあなたの秘密のトップ5」を尋ねる話題の質問や投稿に注意してください）。
ビッシング（または「音声フィッシング」）：攻撃者は、権威のある人物になりすまして従業員に電話し、だまして権限情報を聞き出したり、マルウェアをインストールさせたりする可能性があります。

攻撃者は、技術的な支援に頼る手法を使用する場合もあります。ブルートフォース攻撃と認証情報ダンプが最も一般的ですが、それ以外にも多くの手法があります。

ブルートフォース攻撃：この攻撃は、パスワードの体系的な自動推測を必要とし、パスワード要件が不十分なシステムに対して特に効果的です。
認証情報ダンプ：この攻撃では、攻撃者はネットワークへの不正アクセス権を取得し、複数の認証情報を一度に窃取します。
ショルダーサーフィン：この攻撃では、個人の認証情報を盗むのに、安全でないネットワークを利用するか、個人のデバイスに不正侵入する方法が用いられます。
辞書攻撃：この種類の攻撃では、悪意のあるアクターは、ネットワークのパスワードの長さと要件に基づいて一般的な単語を組み合わせて、考えられるパスワードを作成します。
パスワードスプレー：この種類の攻撃では、いくつかの一般的なパスワード（「password」、「qwerty」、「123456」など）を使用する試行の自動化によって、一度に多くのアカウントにアクセスしてみます。
クレデンシャルスタッフィング：攻撃者は、あるシステムの認証情報を別のシステムで試します。これがうまくいくのは、複数のネットワークでパスワードを再利用している人が非常に多くいるためです。
Pass the Hashまたはレインボーテーブル攻撃：この種類の攻撃には、パスワードを「ハッシュ化」またはスクランブルするアルゴリズムが含まれています。
パスワードの変更とリセット：高度な攻撃者は、新しいパスワードの設定プロセスを悪用する方法を見つける可能性があります。セキュリティ質問に対する答えを知っていれば、攻撃者自身が新しいパスワードを要求することもできます。

WindowsサーバーとLinuxオペレーティングシステムは、どちらも攻撃に対して脆弱です。Windowsの権限昇格では、多くの場合、トークンの操作、ユーザーアカウント制御のバイパス、またはDLL（ダイナミックリンクライブラリ）ハイジャックが使用されます。一般的なLinuxシステムの権限昇格攻撃には、列挙、カーネルエクスプロイト、およびSudoアクセスを使用したroot権限の取得が含まれます。盗まれた認証情報によって提供されるアクセス権は非常に強力であるため、攻撃者は、Linuxの権限を昇格させる新しい方法を見つけることに非常に意欲的です。

権限昇格の防御戦略

防御には、不断のプロアクティブな警戒が必要です。ネットワークを使用するあらゆるビジネスでは、どのユーザーもある程度の脆弱性があるため、被害に遭う恐れがあります。つまり、防御戦略は包括的かつ包容的でなければならず、共有サイバースペースを保護できるようにシステム内のすべてのユーザーの協力を得る必要があります。防御策が失敗する場合は、最悪の結果を防ぐために、迅速に実施できる準備が整った行動計画とともに、検知手段も講じる必要があります。

2024年版クラウドストライクグローバル脅威レポート

クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。

今すぐダウンロード

権限昇格攻撃を検知する方法

権限昇格の検知は、通常、パターン認識、外れ値の検索、および異常なイベントの特定に依存します。残念ながら、権限昇格は予測できないため、それを検知するのは非常に困難です。任意の時点でネットワークへの侵入に成功した脅威アクターは、継続的なアクセスを維持できます。脅威アクターは、何らかの種類の認証情報を取得すれば、システムによって正当なユーザーと見なされます。

権限昇格攻撃は数週間から数か月かけて行われる場合があるため、攻撃を検知する平均時間を推定するのは困難です。侵入者が最初に認証情報を盗んでから目標を達成するまでの時間は、「滞留時間」と呼ばれます。滞留時間が長いと、侵入者は情報を収集し、認証情報を取得し、さらに権限を昇格させることができます。攻撃者が目標を達成する準備ができるまでに、攻撃者は通常、その痕跡を隠蔽します（ログの削除、IPアドレスのマスキングなど）。

標的にとって幸運なことに、サイバー犯罪者はときどき間違いを犯して、追跡を可能にしたり、トラップにかかったりすることがあります。しかし、Third Wayの報告によると、サイバー犯罪者が逮捕されることはごくまれで、1%の半分にも達しません。組織は、脅威を検知するだけでなく無力化する準備をする必要があり、可能な限り迅速に行動することが最も重要です。

権限昇格攻撃の例

権限昇格攻撃では、通常、ネットワークやアプリケーションをマルウェアに感染させる行為が伴います。マルウェアには、以下をはじめとする広範なカテゴリーがあります。

ワーム：自身を複製して他のコンピューターにコピーを拡散する自己完結型プログラムです。
ルートキット：アクターがネットワークやアプリケーションを制御できるように設計されたソフトウェアのコレクションです。アクティブ化されると、さらにマルウェアを拡散するためのバックドアをセットアップします。検知が難しいため、何年も存在し続ける可能性があります。
トロイの木馬：フィッシングやベイトウェブサイトのようなソーシャルエンジニアリングの手法を通じてユーザーをだますように設計されている、正当なソフトウェアに偽装されたマルウェアです。
ファイルレスマルウェア：従来のマルウェアとは異なり、攻撃者が標的のシステムにコードをインストールする必要がないため、検知するのが困難です。
スパイウェア：ユーザーの知らないうちに、または同意なしにユーザーのウェブアクティビティに関する情報を収集する監視ソフトウェアです。（アドウェアはスパイウェアの一種であり、ユーザーのオンラインアクティビティを監視して表示する広告を決定します。）
キーロガー：ユーザーのアクティビティを監視するスパイウェアです。通常は、フィッシングを介してインストールされます。インストールされると、キーロガーは、パスワード、ユーザーID、銀行口座の詳細などの情報を盗み出すことができます。
スケアウェア：ユーザーをだましてコンピューターが感染していると信じ込ませ、実際にはマルウェアである偽のアンチウイルスソフトウェアをインストールするように仕向けるプログラム（通常はポップアップ警告）です。
ランサムウェア：攻撃者が被害者のデータを暗号化し、暗号化解除キーと引き換えに金銭を要求します。攻撃者は、ソーシャルエンジニアリング手法を通じて、またはパッチが適用されていない脆弱性やポリシーの設定ミスを利用して、こうした攻撃を開始できます。

Learn More

2021年11月、LinuxモジュールのPolkitに権限昇格の脆弱性が検出されました。将来の攻撃を検知して防御するために、クラウドストライクのFalconプラットフォームによってPolkitがハンティングされました。詳細情報

権限昇格の防御の重要性

権限昇格は、事実上あらゆるサイバー攻撃の第一歩になると考えられます。そのため、権限昇格が始まる場面での防御を最優先事項とする必要があります。

権限昇格の防御によるアプリケーションのセキュリティへの影響

従業員は日常的に何百ものアプリケーションにアクセスするための権限を必要とするため、組織には、いくつも認証しなくて済む安全なID管理ツールが必要です。Active Directory Federation Services（ADFS）などのシングルサインオン（SSO）サービスを使用すると、ユーザーは複数の内部システムと外部システムにわたって一組の認証情報を使用できます。これにより、時間が節約され、ストレスが減り、アプリケーション間のシームレスな移動が可能になり、効率とユーザーエクスペリエンスの両方が向上します。

欠点は、一組の認証情報を窃取した攻撃者もネットワーク内をシームレスに移動できるようになることです。また、権限が昇格されると、ユーザー、顧客、企業、さらにはクラウドセキュリティにとっても深刻な結果になることが考えられます。何よりもまず、攻撃が高くつく可能性がありますが、それ以上に、機密情報や重要なシステムを管理できなくなり、企業の誠実さや評判に悪影響を与える恐れもあります。

2021年のIBMの調査によると、米国での平均的なサイバー攻撃では、企業に905万米ドル（世界平均の424万米ドルの約2倍）の負担が生じています。2017年に、Targetは、注目を集めたサイバーセキュリティ侵害の後、1,850万米ドルを支払うことに合意しました。攻撃者は、サードパーティベンダーから盗まれた認証情報を使用して、Targetのシステムの弱点を悪用していました。カスタマーサービスデータベースへのアクセス権を獲得した後、攻撃者は、マルウェアをインストールして、連絡先情報、クレジットカード番号などのプライベートデータを窃取しました。

権限昇格攻撃は、予算とサイバーセキュリティ対策が不十分な小規模な組織も対象となる可能性があります。教育機関は常に標的になります。米国イリノイ州のリンカーンカレッジは、大学がすでに経営難に陥っていたときにランサムウェア攻撃を受けて重要な機能が停止し、2022年に閉校を余儀なくされました。中央政府に限らず、誰もサイバー攻撃による被害と無縁ではいられないため、誰もが用心する必要があります。

権限昇格からシステムを保護する方法

サイバー攻撃は世界的な現象です。世界経済フォーラムでは、「こうしたリスクは、単独で行動する組織では対処できません。企業と政府の両方の協力と説明責任を促進する政策介入が必要です。」と語られています。

とはいえ、誰にもサイバーセキュリティエコシステムで果たすべき役割があります。防御戦略を成功させるには、一般的な昇格手法を理解し、そうした手法を阻止するための適切な制御を実施する必要があります。

権限昇格攻撃を防御するために導入すべき制御

認証情報の盗難のリスクを軽減するには、多層化されたセーフガードが必要です。技術的制御（暗号化、ファイアウォール、監視、アンチウイルスプログラム、マルウェア対策プログラムなど）で、ハードウェアとソフトウェアの脆弱性に対処します。技術的制御には、セキュリティイベントを収集、分析するためのセキュリティ情報およびイベント管理ソリューションに加えて、疑わしいイベントを監視して対応する侵入検知および防御システムも含まれます。

管理制御（ポリシー、手順、トレーニング、ベストプラクティスなど）では、人に焦点を当て、ソーシャルエンジニアリング手法に対処します。物理的制御では、機密資料への不正な物理的アクセスを阻止または防御します。この制御範囲は、監視カメラや警備員から生体認証IDにまで及びます。鍵のかかるドアでも、認証情報の盗難防止に役立ちます。

権限昇格から保護するために使用する手法

非常に多くの侵害がフィッシングから始まるため、社会的および文化的防御手法が不可欠です。多くの場合、ネットワークメンバーは、最初の攻撃ポイントであり、そのため防御の最前線でもあります。しかし、恐怖心の植え付けは動機として効果がありません。組織は、代わりにトレーニング、リマインダー、および共同責任意識で従業員を鼓舞する必要があります。

良好な個人のITハイジーンには、以下の要素が含まれます。

強力なパスワードを作成し、盗難から保護する
安全なWi-Fi経由でネットワークに接続する
疑わしいリンクが記された迷惑Eメールやテキストに警戒する
疑わしいアクティビティや偶発的な侵害についてITに警告する

システム全体のハイジーンも重要です。多くの機関は、今日の高度な攻撃者が簡単に回避できる伝統的なセキュリティ対策に依存し続けています。ソリューションには、以下のものが含まれます。

強力なパスワードと認証情報の管理の実施
クッキーの適切な取り扱い
システムのリアルタイムの監視と、最新の脅威インテリジェンスの常時把握
プロアクティブかつ継続的な脆弱性と脅威のハンティング
アカウントのライフサイクル全体に対応する堅牢なアイデンティティ保護プログラムの実装
最小権限の原則に従い、権限を複数のコンポーネントに分離
セキュリティのゼロトラストモデルを使用して、認証されるまですべてのデバイスを信頼できないものとして対応
ネットワークとアプリケーションをセグメント化してラテラルムーブメントを制限
権限セッションの綿密な監視を通じた特権アクセス管理制御
データを救出するためのランサムウェア対策オフラインバックアップの開発

組織では、脅威の予測、調査、プロアクティブなハンティング、迅速な対応など、露出を最小限に抑えるために、さらに警戒体制を強化する必要があります。

古いシステムやパッチが適用されていないシステムを排除し、パッチを迅速にインストールする
多要素認証と適切なリモートデスクトッププロトコルを使用する
一般的な種類のマルウェアから保護する
ダークウェブを監視して侵害の証拠を見つける
継続的な侵入テスト
誤検知やアラートが多すぎ、それらに優先順位を付ける方法がないセキュリティソリューションによるアラート疲れを回避する
自動化されたEメールURLフィルタリングと添付ファイルのサンドボックス化を実施する

権限昇格からシステムを保護するためのツールとソフトウェア

権限昇格からシステムを保護するには、以下のような機能を備えたツールとソフトウェアが必要です。

すべてのユーザーのアイデンティティ保護
管理者権限での悪意のあるアクティビティに対する、エンドポイントでの検知と対応（EDR）によるすべてのアクティブユーザーのリアルタイムの可視性
アラートを追跡、検証、優先順位付けする機能を備えた、望ましくは24時間365日の脅威ハンティング
攻撃者とその戦術、戦略、目的に関する脅威インテリジェンス
対応可能な侵害の痕跡を備えた高度なマルウェア検索機能
次世代のアンチウイルス保護

これらのツールには、主な機能として、簡単なセットアップと設定、スケーラビリティ、および安価なクラウドストレージが含まれます。

クラウドベースの権限昇格攻撃が非常に多いため、組織には、サイバー犯罪者に先行するためにクラウド規模のクラウドネイティブシステムが必要です。人工知能と高速のスマートフィルタリングテクノロジーに加えて、熟練のアナリストを採用すれば、環境をプロアクティブに監視し、異常なアクティビティをユーザーに警告できます。内部セキュリティチームは、権限昇格攻撃によってもたらされる脅威から組織を完全に保護するために、この補足的な支援を必要とする場合があります。

侵害の阻止とビジネスの促進

権限昇格攻撃の被害者になりたいと考える組織はありませんが、ほとんどの組織は、今日、そして明日の高度な攻撃者に先行するための支援を必要としています。クラウドストライクには、組織の防御を強化し、攻撃者の予備軍からネットワークを安全に保つために必要な経験、専門知識、ツールがあります。

お客様がサイバー攻撃との戦いに勝って本来の業務に集中できるようにするうえで、クラウドストライクがどのようにお役に立てるかについては、詳細をご覧ください。

GET TO KNOW THE AUTHOR

バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。

権限昇格とは？