Cisco warns of large-scale brute-force attacks against VPN services
💡
要約
Ciscoが大規模な資格情報の総当たり攻撃キャンペーンについて警告しています。
この攻撃はVPNおよびSSHサービスを狙っており、Cisco、CheckPoint、Fortinet、SonicWall、Ubiquiti製品をターゲットにしています。
主な内容は以下の通りです。
- 攻撃者は有効な従業員ユーザー名と一般的なパスワードを使って、資格情報を総当たりで試しています。
- 攻撃は3月18日に開始され、Tor出口ノードやプロキシなどの匿名化ツールから実行されています。
- ターゲットとなっているサービスには、Cisco VPN、CheckPoint VPN、Fortinet VPN、SonicWall VPNなどがあります。
- 業界や地域を問わず、無作為にターゲットを選んでいるようです。
- CiscoはGitHubで攻撃に関するIndicatorsをリストアップしています。
- 以前の類似攻撃との関連性は不明です。
Ciscoは企業に対し、VPNサービスへの攻撃に警戒し、適切な対策を講じるよう助言しています。
Table of contents
資格情報総当たり攻撃は、企業ネットワークへの不正アクセスを目的としています。
一旦VPNなどの外部接続サービスへの正規アカウント情報を手にすれば、内部ネットワークへの侵入が可能になります。
攻撃者は以下の手口を使っています:
- ユーザー名リスト
攻撃対象企業の従業員名やよく使われる一般的な語句をユーザー名として使用。
- パスワードリスト
辞書攻撃と呼ばれる手法で、ありふれた単語や単純な文字列を大量に試します。
- TOR/プロキシの利用
IPアドレスの特定や遮断を避けるため、TORやプロキシを経由してアクセスしています。
- 大量のリクエスト
多数の攻撃元IPから同時に膨大なログイン試行を実行し、防御を圧倒しようとしています。
💡
一度侵入に成功すれば、攻撃者は内部ネットワークに潜り込み、不正な活動を行えるようになります。データ窃取、ransomwareの実行、さらなる侵攻の梃子と利用されるリスクがあります。
影響を受ける可能性のあるサービス:
- Cisco Secure Firewall VPN
- Checkpoint VPN
- Fortinet VPN
- SonicWall VPN
- RD Web Services
- Miktrotik
- Draytek
- Ubiquiti
攻撃による被害:
- 不正アクセス: 攻撃が成功すると、ネットワークへの不正アクセスが可能になり、機密情報が盗まれたり、システムが改ざんされたりする可能性があります。
- アカウントロックアウト: ログイン試行が失敗し続けると、アカウントがロックアウトされ、正規ユーザーがアクセスできなくなる可能性があります。
- サービス拒否攻撃: 大量のログイン試行により、VPNサービスが過負荷状態になり、サービスが停止する可能性があります。
対策:
- 強力なパスワードポリシーの導入: 複雑で推測されにくいパスワードを使用し、定期的に変更することが重要です。
- 多要素認証の導入: パスワードに加えて、別の認証要素 (ワンタイムパスワードなど) を使用することで、セキュリティを強化できます。
- VPNサービスの最新化: 最新のセキュリティパッチを適用し、脆弱性を解消することが重要です。
- ログの監視: ログイン試行のログを監視し、不審なアクティビティを検知することが重要です。
- Cisco TalosのIoCリストの活用: 攻撃者のIPアドレスや使用されているユーザー名/パスワードのリストを参考に、ブロックリストに追加するなどの対策を講じることができます。