アイデンティティ保護における攻撃者とのいたちごっこでは、攻撃者は長期戦を仕掛け、探索を行い、インフラをローテーションさせながら、弱点が見つかるのを待ち続けます。エクサフォースは、アイデンティティ攻撃の標的となり続けている機密性の高い業界の多くの著名企業を保護しています。本ブログでは、現在のお客様環境で最近数週間にわたって発生した実際の侵害について解説します。この侵害では、数十の国際IPアドレスが関与し、最終的に認証情報が窃取され、複数回の認証成功が確認されました。
このタイムラインを共有する目的は、持続的な攻撃者が実際にどのように行動するのか、そしてアイデンティティベースの攻撃を検出・阻止するうえで、可視性、コンテキスト、行動シグナルの相関がいかに不可欠であるかを示すことです。
エグゼクティブサマリー
攻撃期間:2025年5月15日〜6月25日
初期侵入経路:SaaS認証ポータルに対するブルートフォースログイン試行
インフラ:40か国以上にまたがる200以上のIPアドレス。その多くにASN異常あり
エクサフォースによる検知:Impossible Travel、ASN不一致、繰り返されるポリシー評価
結果:攻撃者は有効な認証情報を取得し、対応前に複数回の認証に成功
対応:すべてのアクティブセッションの強制ログアウト、パスワードリセット、アカウントのMFA登録
攻撃の構造
フェーズ1:偵察とテスト(5月15日〜6月5日)
最初のシグナルはわずかなものでした。スイス、フランス、米国、モロッコからの少数の認証失敗です。その後3週間で、試行回数は着実に増加しました。すべて失敗に終わりましたが、地理的な分散、ASNの不一致、少数のアカウントに対する反復的な試行は、組織的なブルートフォース攻撃を示唆していました。特に、Beltelecom(BY)、Bahnhof AB(SE)、Novotelecom(RU)に関連するIPからの認証失敗が繰り返し確認されました。
失敗が続いていたにもかかわらず、執拗な試行から、これは停止する見込みのない標的型攻撃であることが明確に示されていました。
フェーズ2:組織的な拡大(6月25日)
アクティビティ量が急増しました。ローテーションする国際IP群から、80件を超えるサインオンイベントが記録されました。主な危険信号は以下のとおりです。
- 環境内で過去の履歴がないIPからの複数のログイン成功
- ユーザーの所在地と整合しないASNからのサインオン(例:AS29069 - Rostelecom)
- 管理者アイデンティティを含む複数アカウントで、ロケーション異常とASN異常が検出
攻撃者インフラのプロファイル
インシデント全体を通じて、エクサフォースは、40か国以上にまたがる200件を超えるユニークIPアドレスからの認証試行を特定しました。これには、ログイン失敗とログイン成功の両方が含まれます。このように多様なインフラは、現代の認証情報ベース攻撃の特徴であり、地理的異常検出の重要性を浮き彫りにしています。
調査から得られた注目すべき統計は以下のとおりです。
- 攻撃元上位国:スウェーデン、ルーマニア、ノルウェー、ウクライナ、チュニジア、ロシア、スペイン、オランダ、アラブ首長国連邦、ドイツ
- 最もアクティブなIP(認証試行回数順):
- 41.224.62.206(ORANGE – チュニジア):166回
- 89.160.38.13(Bredband2 AB – スウェーデン):165回
- 176.104.241.131(Bilink LLC – ウクライナ):155回
- 109.100.41.198(Orange Romania – ルーマニア):153回
- 89.10.140.58(NextGenTel AS – ノルウェー):151回
- ASNの広範な使用:攻撃者は、大手ISP、ホスティングプロバイダー、DigitalOceanやnetcup GmbHなどの匿名化インフラを含む、数十のユニークASNを利用していました。そのため、攻撃元の特定とブロックがさらに困難になりました。
- 反復パターン:多くのIPは短時間のバーストで使用され、スプレー&プレイ型の挙動を模倣していました。一方で、一部のIPは数日にわたり複数回のログイン成功を重ね、持続性を確立していました。
これらの調査結果は、IPの地理的位置情報、ASN異常、ログイン行動を自動的に相関させる必要性を裏付けています。これらの機能は、お客様がOktaログを接続した直後に、この攻撃を顕在化させるうえで重要な役割を果たしました。
エクサフォースがインシデントを検出した方法
エクサフォースは、侵入が発生した当日(6月25日)に検出できました。検出は、単一の指標に基づくものではありません。エクサフォースのAIが複数のシグナルを自動的に結び付け、1つの脅威検知結果に到達しました。ルール作成も、手動での相関分析も不要でした。
- Impossible Travel違反(例:スウェーデンとチュニジアから数分差でログイン)
- Oktaポリシー評価に基づくASN異常検出
- これまで正常だったアカウントにおける成功/失敗比率
- デバイス、IP、セッション行動を横断したアラート相関
侵入を検出した後、お客様はすべてのアクティブセッションを強制ログアウトし、対象アカウントのパスワードをリセットしてMFAを有効化することで、脅威を封じ込め、今後の侵害を防止できました。
防御担当者への重要な教訓
エクサフォースの支援内容
このインシデントは、エクサフォースのプラットフォーム内で、以下を活用して特定、調査、対応されました。
- アカウントタイムラインの統合により、時間軸と対象領域をまたいだアクティビティを相関し、攻撃の進行をより明確に把握
- ASNを考慮したポリシー評価により、リスクの高いネットワークや通常とは異なるネットワークからのアクセスをより正確に検出
- 視覚的な行動分析により、アナリストがユーザーまたはシステム行動の異常やパターンを迅速に検証
- IPクラスタ全体でのアラート要約により、組織的または関連するアクティビティを強調表示
- 詳細な対応ガイダンスにより、外部の専門知識に依存せず、より迅速かつ効果的な対応を実現
完全な検出とコンテキストにより、単なるアラートトリアージを超える
このお客様がオンボーディング中にOktaテナントをエクサフォースに接続すると、エクサフォースのプラットフォームは、アイデンティティ、地理情報、ASN、ポリシーテレメトリを横断した行動分析をただちに開始しました。カスタムルールなしで、エクサフォースは高リスクなパターンを検出しました。管理者権限を持つサービスアカウントが、短時間のうちに40か国以上、37以上の異なるASNからMicrosoft 365にサインインしていたのです。これは、典型的なImpossible Travelとインフラローテーションの組み合わせでした。
その後、エクサフォースは検知結果を自動生成し、トリアージを行い、アナリストがすぐに利用できるコンテキストで強化しました。具体的には、重要である理由(管理者アカウント、機密性の高い操作)、観測された内容(グローバルな分散、一致する安全なVPN IPがないこと)、マッピングされたMITREの戦術/手法(Initial Access → Valid Accounts)、信頼度(High)、推奨される調査優先度です。すべての証拠、IPインテリジェンス、イベント数、MFA関連アクションは単一のビューにまとめられ、監査データまたはJSONとしてエクスポートできます。
その結果、セキュリティチームは、生のOktaログから開始してクエリを作成するのではなく、信頼度が高く、スコープが明確化されたアカウント乗っ取り調査から対応を開始できました。これが、アラートノイズと運用可能な検出の違いです。
お客様のIdPデータを使って、エクサフォースに何ができるかをご覧になりませんか。すでにお持ちのデータに何が隠れているのかをお見せします。詳細については、デモをリクエストしてください。
