W/ Cloud Protection for Salesforceによるキルチェーンの分断

WithSecure-OurPeople-42

脅威を取り巻く環境

Sales Cloud、Service Cloud、Experience CloudといったSalesforce製品は、幅広い業界や業種の組織にとって、いまや不可欠なクラウドサービスとなっています。しかし残念なことに、組織での利用が進めば進むほどに、企業のデータやネットワークに不正にアクセスする手段として利用しようとするサイバー犯罪者の注目を集めることになります。

クラウドコンピューティングとは、インターネットなどのネットワーク経由でユーザーにサービスを提供する形態のことです。データを遠隔で保存やアクセスする手段としてクラウドを活用する企業は右肩上がりに増え続けています。クラウドベースの営業支援(SFA)や顧客管理(CRM)システムの主要ベンダーである Salesforce社は、自社のクラウドやネットワークインフラを保護するために厳格なセキュリティ対策を実施しています。クラウドサービスでは、クラウドサービスプロバイダーと利用企業の間で、セキュリティ責任を定義する「責任共有モデル」が採用されています。このモデルでは、Salesforce 環境に保管されるデータを保護する責任はデータ所有者であるサービスの利用企業にあります。

Salesforce のようなクラウドサービスを利用することのビジネス上のメリットは非常に大きく、利用によってもたらされるセキュリティリスクを大幅に上回ります。しかし、これらのリスクの性質と程度を認識し、リスクを軽減するために取るべき行動を決定することが不可欠です。

Salesforce 環境のセキュリティを確保するには、攻撃者が利用している攻撃手法と、その対策について理解することが重要です。攻撃の手口には、Eメールによる悪意のあるURLの配信から、ソーシャルエンジニアリング、クライアント向けプラットフォームを利用して武器化したコンテンツをSalesforce環境に直接アップロードする方法など、さまざまな手法があります。

このホワイトペーパーでは、コンピュータネットワークへの侵入をモデル化するための方法である「キルチェーン」を活用して、最も典型的な3つの攻撃シナリオを分解します。また、ウィズセキュアが Salesforce 製品 のために設計されたソリューションによって、どのようにキル・チェーン 分断することができるかについても説明します。

脅威アクター: 誰がデータを 盗もうとしているのか、 そしてその理由は?

近年、多くの企業においてクラウドサービスの導入が進み、実践的な運用が行われていることで、犯罪者は機密性の高い情報がクラウド環境に存在していることに気が付きました。しかし、世界にはさまざまな脅威アクターが存在し、その目的・動機や洗練度も大きく異なるため、まずはあなたの会社を狙う攻撃者が誰なのか、なぜ攻撃してくるのかを理解することが重要です。

下のピラミッドは、攻撃者の階層を示しています。トップクラスの攻撃者に狙われた場合、残念ながら攻撃が成功する可能性は非常に高いでしょう。国家が関与・支援するグループや本格的な犯罪組織は、戦略的に重要であると判断したデータを狙う際は膨大なリソースを投入します。一般的には、大企業ほど攻撃される可能性が高くなります。

基本的なサイバートレーニングを施し、ウイルス対策ソフトが導入されていれば、ピラミッドの下層から来る攻撃のほとんどを防ぐことができます。しかし多くの中堅・中小企業にとって最大の脅威となるのは、中間層のグループによる攻撃です。

Threat actors: who wants to steal our data and why?

サイバーキルチェーン

高度な脅威アクターが企業にどのようにアプローチするかを評価する際にキルチェーンを使用することで、攻撃者が攻撃を成功させるためには最低限どのような手順を踏む必要があるかを容易に理解することができます。このことをベースにすることで予防的または検知的な対策を考え、攻撃に対抗することができます。

ウィズセキュアでは、キルチェーンのモデルとして、業界で広く使用され受け入れられているロッキード・マーティン社が最初に作成したモデルをベースに、ウィズセキュアが攻撃を調査し闘ってきた経験に基づき、いくつかのステップを追加しています。

The cyber Kill Chain

キルチェーンの各段階で 何が起きているのか

情報収集

これは、攻撃者が企業やネットワークを外部から観察して、悪用できる可能性のある脆弱性を探すフェーズです。

Salesforce への攻撃のシナリオでは、コミュニティポータルや Web-to-ケースフォーム、またはメール-to-ケースのフローに使用されるEメールアドレスの調査などが挙げられます。

目的実行

攻撃者が目的の少なくとも一部を達成すると、キルチェーンの最終段階に到達します。

攻撃者の目的にもよりますが、これにはデータの窃取、ターゲットの操作、不正な支払い、システムの損傷など、さまざまなことが含まれます。

内部情報収集

攻撃者はシステムにアクセスすると、組織やネットワークについてさらに詳しく調べようと、別の段階の情報収集をを行います。

Salesforce の場合、CRM 内のパートナーや顧客の連絡先情報にアクセスしたり、Salesforce に接続されている他のシステムを調べたりすることを意味します。

永続化

攻撃者が企業のネットワークにアクセスできるようになると、彼らは内部に留まり、検知されないようにしながら行動します。

そしてデータを盗み続けたり、他の目的のための活動を行います。これには、Salesforce環境を介して社内外のユーザーに悪意のあるファイルやURLを送信するなどのさまざまな手法が含まれます。

遠隔操作(C2)

C2は「Command & Control」のことで、セキュリティの専門家が使用する略語です。このフェーズでは、攻撃者が侵害したシステムを使用して、企業のネットワーク内のマルウェアをアクティブ化したりコントロールしたりします。

横展開

偵察を通じて、攻撃者は探しているデータが保存されている可能性のあるネットワークおよびインフラの領域を特定します。その後さまざまな手法を使用して、これらの領域にアクセスしようと試みます。

攻撃

攻撃はコード実行とも呼ばれるように、悪意のあるコードをターゲットの環境内で実行するフェーズで、Microsoft Officeドキュメント、PDFファイル、スクリプトなどのファイルフォーマットが持つ機能を悪用するなど、さまざまな方法で行われます。

攻撃者は、人気のあるソフトウェアの既知または未知の(いわゆるゼロデイ)脆弱性を悪用する場合もあります。

配信/武器化

攻撃の手段がEメールである場合、これは文字通り、従業員へのEメールの配信を意味します。また攻撃は、Salesforceコミュニティ、ファイルの直接アップロード、またはSalesforce上で共有されるURLを介して実行される可能性もあります。

武器化は追加のステップとして加わることがあり、配信の前または後に行われます。攻撃者はこのステップで、情報収集フェーズで見つけた情報を使って悪意のあるコンテンツを組み込みます。

従来これは配信前に行われていましたが、攻撃者は新しい手法を開発し、最初は感染していないクリーンなURLで標準のセキュリティソリューションの検知を逃れ、時間差を置いて後からそのURLに悪意のあるペイロードを追加するようになっています。

外部のキルチェーンと 内部のキルチェーン

ウィズセキュアでは、情報収集と武器化フェーズの前、または同時に行われる最初の侵入方法に基づいて、外部と内部のキルチェーンを区別しています

外部のキルチェーンの代表的なものは、「顧客を装う」などの方法で信頼を得ようとする攻撃者です。例えば、求人応募者を装ったサイバー犯罪者であることを知らずに採用プロセスを進めている採用担当者を想像してみてください。攻撃者である候補者は、最初に本物の履歴書を送り、感染していないEメールを交換して信頼を構築し、その後攻撃を仕掛けてきます。

一方、内部のキルチェーンでは、攻撃者がすでにアクセス権を持っているケースです。そのアクセス権は、オンラインで不正に購入したか、あるいはフィッシング攻撃を利用して盗んだものかもしれません。いずれにしても、攻撃者は情報収集を行い、最終的な配信目標を設定することができます。

できる万能なソリューションではありません。攻撃によっては、特定のステージを完全にスキップしたり、目的を達成するために異なる手段を使用したりすることがあります。しかし、キルチェーンフレームワークと、さまざまな攻撃者が各々のステージにどのようにアプローチするかを理解することで、企業はサイバー攻撃への備えと防御を強化することができます。

External vs internal threats

Salesforceキルチェーンの例

コミュニティポータルを使った攻撃

これは外部キルチェーンの例です。攻撃者は、コミュニティポータルへの正当なアクセス権を持つコミュニティのメンバーになりすまします。

1. 情報収集

攻撃者は、コミュニティポータルで新しいユーザーアカウントを作成して登録します。これにより、コミュニティポータルの機能、コミュニケーションのフロー、および脆弱性に関する情報を収集します。

2. 武器化

攻撃者は、脆弱性を悪用してドキュメントを武器化します。これには、悪意のあるマクロを含むWordドキュメント、またはJavaScriptコードが埋め込まれたPDFドキュメントが利用されます。

3. 配信

攻撃者は、武器化したファイルをコミュニティポータルにアップロードします。そのファイルは、Salesforce Experience Cloudにコンテンツまたは添付ファイルとして保存されます。

4. 攻撃

内部のユーザーがファイルを開き、武器化されたペイロードがデバイス上の脆弱なアプリケーション内で実行されます。

5. 遠隔操作/永続化

これで、攻撃者はこのユーザーのデバイスにアクセスできるようになり、横展開、永続化、さらに偵察のフェーズに進むことができます。

6. 目的実行

攻撃者は、企業から機密データまたは重要データを盗み出します。

Attack through a community portal

メール-to-ケースの悪用

これは攻撃者がメール-to-ケースを使用してSalesforce Service Cloud経由で侵入する、別の外部キルチェーンのケースです。彼らは企業のサービスを利用する顧客、またはユーザーを装います。

1.情報収集

攻撃者は、カスタマーサポートへのリクエストの送信に使用されたEメールアドレスを探します。

2. 配信

攻撃者はフィッシング攻撃用のWebサイトを作成します。カスタマーサポートへのメール-to-ケースのリクエストを作成し、EメールメッセージにそのWebサイトのリンクを含めて送信します。このとき、セキュリティスキャンを回避し、リンクが確実にSalesforce環境内に保存されるようにするまでは、完全な武器化を行いません。

3. 武器化

攻撃者はしばらく時間を置いてから、作成したWebサイトに悪意のあるコードを追加します。

4. 攻撃

内部のユーザーがリンクを開き、デバイス上の脆弱なアプリケーション内で悪意のあるコードが実行されます。

5. 遠隔操作/永続化

これで、攻撃者はこのユーザーのデバイスにアクセスできるようになり、横展開、永続化、さらに偵察のフェーズに進むことができます。

6. 目的実行

攻撃者は、企業から機密データまたは重要データを盗み出します。

Attack through a email-to-case

サプライチェーン攻撃

Salesforceでは、Salesforce Lightningプラットフォームの機能を統合し、強化するためのさまざまな方法をサポートしており、企業はこれらを使ってコンテンツを作成/更新および読み込むソリューションを使用できます。これらのソリューションで利用されるネイティブのSalesforce APIは、デフォルトで信頼されています。このキルチェーンの例では、攻撃者がサードパーティのアプリケーションを使用してSalesforce Lightningを侵害する方法を示しています。

1. 情報収集

攻撃者は、脆弱なAppExchangeアプリを探すか、Salesforce Lightningと統合されている外部システムを侵害しようとします。これには、SalesforceのMulesoftやDellのBoomiなどのサードパーティソリューション、またはSalesforceにアクセスできる自社製のソリューションなどが含まれます。

2. 武器化

攻撃者は、脆弱性の悪用や悪意のあるペイロードを含む、武器化されたドキュメントを作成します。これには、悪意のあるマクロが埋め込まれたWordドキュメントやJavaScriptコードが埋め込まれたPDFドキュメント、PowerShellスクリプトなどが利用されます。

3. 配信

攻撃者は、サードパーティのアプリケーションを介して武器化されたファイルをSalesforce Lightningに送り込みます。このファイルはホワイトリストに登録されているソースから送られてくるため、デフォルトで信頼されています。

4. 攻撃

内部のユーザーがファイルを開き、そのデバイス上の脆弱なアプリケーション内で武器化されたペイロードが実行されます。

5. 遠隔操作/永続化

これで、攻撃者はこのユーザーのデバイスにアクセスできるようになり、横展開、永続化、さらに偵察のフェーズに進むことができます。

6. 目的実行

攻撃者は、企業から機密データまたは重要データを盗み出します。

Supply chain attacks

製品紹介

WithSecure™ Cloud Protection for Salesforceは、これまでに挙げたすべての攻撃シナリオだけでなく、それ以外のシナリオにも効果的に対処できます。ウィズセキュアのソリューションは、Salesforce環境でファイルやURLがアップロードやダウンロード、あるいはクリックされるたびに、これらをアクティブにスキャンし、マルウェアやフィッシングリンクを含む悪意のあるコンテンツをリアルタイムに検知してブロックします。

ウィズセキュアのCloud Protectionソリューションは、攻撃者が悪意のあるペイロードを休眠状態にしてセキュリティシステムを回避しようとするメール-to-ケースのような高度な攻撃手法に対して、特に効果的です。

ウィズセキュアのCloud Protectionソリューションは、Salesforceと連携し、セキュリティ機能を補完するように設計されており、ウィズセキュアのソリューションとSalesforceに内蔵された、またはアドオンのセキュリティツールの機能が重複することはありません。Click & Goによる導入が可能で、面倒な導入作業を必要とせずに、すぐに保護を始めることができます。

さらに、ウィズセキュアのソリューションは、コンテンツセキュリティの状態を常に可視化し、包括的なレポートや分析結果を提供して、脅威ハンティングを支援します。さらに、SIEMへの統合も簡単です。

高度なサイバー攻撃から企業を守るためには、多面的かつ多層的なセキュリティ対策を講じることが重要です。これには、脆弱性への体系的な対処、デバイスやクラウドアプリケーションへの予防的な脅威対策の実装、脅威への迅速な対応による被害の最小化などが含まれます。

更に詳しい情報

WithSecure Cloud protection for Salesforce

Salesforce Community Cloud、Sales Cloud、およびService Cloud向けのWithSecure™ Salesforce Cloud Securityは、高度なウイルスやマルウェアからリアルタイムに保護します。

Read more

WithSecure™ Cloud Protection for Salesforce

WithSecure™ Cloud Protection for Salesforce は、ランサムウェア、ゼロデイマルウェア、ウイルス、トロイの木馬、フィッシングリンクなどの高度なサイバー脅威からSalesforce 製品を保護するためにデザインされた強力なセキュリティソリューションで、Salesforces社と共同で開発されており、Salesforceプラットフォームのネイティブセキュリティ機能を補完します。このソリューションは、ISO 27001およびISAE 3000(SOC 2)の認証を取得しています。

当社の高度なクラウド・セキュリティソリューションの詳細については、今すぐお問い合わせください

Want to talk in more detail?

Complete the form, and we'll be in touch as soon as possible.

We process the personal data you share with us in accordance with our Corporate Business Privacy Policy.