「攻撃対象領域管理(ASM, Attack Surface Management)」とは、ハッカーが侵入する可能性がある企業・機関の「攻撃対象領域」を検知・分析し、外部 公開IT資産 を予防するための活動です。前回、「攻撃対象領域管理を活用した脆弱性検知:Criminal IP ASM活用事例(1)」ではCriminal IP ASMの活用法とともに攻撃対象領域管理でどのような問題を解決できるかを紹介するために脆弱性のあるIPアドレスを検知する事例を扱いました。今回のユーザーガイドでは、攻撃対象領域管理で外部 公開IT資産 を検知できる方法を紹介します。
公開IT資産 管理のためのOSINT活用法
企業は内部IT資産の管理のため、コンフルエンス(Confluence)やジラ(Jira)のように、外部に公開されない協業ツールを使用するか、別途のクラウドで社内ネットワークを構築することが多いです。しかし、これはあくまでもインターネット基盤のサービスであるため、セキュリティ設定を怠る場合、みんなが見られる状態で内部の機密情報がインターネット上に公開されることもあります。総当たり攻撃やエクスプロイト攻撃を受ける際は、社内ネットワークにハッカー等の外部侵入が発生する可能性があります。その場合、OSINT基盤の脅威インテリジェンス検索エンジンCriminal IPで以下のように外部 公開IT資産 を検索できます。
Search Query: title: “AWS CloudFormation PHP Sample”
公開IT資産 の他の例として、まだリリース・パッチが行われていないソフトウェアやサーバーの主要キー(APIキー、Secret Access Key等)が漏洩される状況があります。HTTPリクエストヘッダーに間違えて追加しといたキーが外部に漏洩されると、クレデンシャルの奪取だけでなく、外部の人によってデータベースが改ざんされる可能性もあります。APIキー一つで起こる個人情報漏れ、そして造作の投稿でのアマゾンクラウドサービス(AWS)の代表的なNoSQLサーバーの一つであるDynamoDBの管理者ページを検索するケースを例として挙げられます。
Search Query: DynamoDB Admin
攻撃対象領域管理で組織の 公開IT資産 を迅速に探す
しかし、場合によっては数百~数千に至る脅威インテリジェンス検索結果の中で自分が所属している組織の公開IT資産のケースだけを探して対応するには限界があります。どんなOSINTツールを使用すればいいのか、Criminal IPのようなCTI検索エンジンではどんな検索語を入力すべきか漠然とする場合もあります。その際、攻撃対象領域管理ソリューションCriminal IP ASMを活用すると、代表ドメインを一つ登録するだけでCriminal IPの膨大なOSINT基盤の脅威インテリジェンスの中で、特定な組織と関連するIT資産だけを検知できます。フィルタリングされたデータはダッシュボードの形で提供されることができ、迅速な検知・対応が可能になります。Criminal IP検索エンジンと連動されているので、繋がっているIPアドレスのWHOIS情報やVPN、Tor、ホスティング使用の可否など、資産ごとの詳細を把握することもできます。
特に、Criminal IP ASMのOSINT機能はGoogleハッキング手法でGoogleに漏洩されている組織の内部IT資産を自動で検知します。フィルタリングで漏洩された履歴書や管理者ページ、テストサーバー等を検索できるGoogleの検索語が提供されるため、公開IT資産を探して対応する時間と手間を大きく減らせます。
公開IT資産 、検知と措置を一気に
また、Criminal IP ASMの「リスク」メニューでは、攻撃対象領域管理で検知された危険な資産に繋がっているIPアドレス、使用されたアプリケーション、オープンポートの情報を確認できます。次はある顧客が、主にデータベースサーバーに使用される3306番ポートがオープンされた資産を検知したケースです。
該当の資産に繋がっているIPアドレスをCriminal IPで検索した結果、3306番ポートだけでなく22番ポートがオープンされていました。OpenSSH脆弱性に漏洩されていることを確認した顧客はすぐファイアウォールでサーバーのポートを閉めました。このように攻撃対象領域管理を活用すると、優先的に対応するべきの 公開IT資産 を速やかに把握できるだけでなく、詳しい対応策まで整えられるので組織セキュリティの効率を上げることができます。
追加で攻撃対象領域管理を活用した 公開IT資産 への対応事例を知りたい方は、関連してOSINT攻撃対象領域管理でGoogleに漏洩された個人情報を検知の投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」と、インテリジェンスベースの攻撃対象領域管理ソリューション「Criminal IP ASM」のデータに基づいて作成されました。Criminal IP ASM攻撃対象領域管理の全機能を確認し、無料トライアルで貴社の資産の攻撃対象領域をモニタリングすることもできます。
データの提供:Criminal IP (https://www.criminalip.io/ja)