概要
Sales Cloud、Service Cloud、Experience Cloud などの Salesforce クラウドアプリケーションは、現在、幅広い業界や分野の組織にとって、ビジネスに不可欠なサービスとなっています。しかし残念なことに、その人気ゆえに、これらの企業データやネットワークへの不正アクセスを狙うサイバー犯罪者の標的となっています。
クラウドコンピューティングは、データをリモートで保存・アクセスするための手段として、ますます普及しています。クラウドベースのCRMソリューションやその他の重要なビジネスアプリケーションの主要ベンダーの一つであるSalesforceは、自社のクラウドおよびネットワークインフラを保護するために厳格なセキュリティ対策を実施しています。クラウドの世界では、「責任分担モデル」によって、クラウドプロバイダーと利用者の双方のセキュリティ上の責任が定義されています。このモデルでは、データ所有者が、Salesforce環境に出入りするデータのセキュリティ確保について主たる責任を負います。
Salesforceのようなクラウドベースのアプリケーションを利用することによるビジネス上のメリットは極めて大きく、それらがもたらす追加的なセキュリティリスクをはるかに上回ります。しかし、これらのリスクの性質と範囲を認識し、リスクを軽減するためにどのような対策を講じるべきかを判断することが不可欠です。
Salesforceクラウド環境を積極的に保護したいのであれば、攻撃者が使用している手法と、それらに対抗するために何ができるかを理解することが重要です。これらの手法は、フィッシングやメール経由での悪意あるURLの送信から、ソーシャルエンジニアリング、さらには顧客向けプラットフォームを悪用して武器化されたコンテンツをクラウドに直接アップロードするものまで多岐にわたります。
本ホワイトペーパーでは、サイバーセキュリティの専門家が「キルチェーン」と呼ぶ概念に基づき、最も典型的な3つの攻撃シナリオを分析します。また、Salesforce Cloud向けに設計されたソリューションを通じて、WithSecure™がどのようにしてそのキルチェーンを断ち切るのに役立つかについても解説します。
脅威アクター:誰が、なぜデータを盗もうとしているのか?
ますます多くの企業が業務をクラウドに移行するにつれ、犯罪者たちは、クラウド環境に大量の価値ある機密データが保管されていることに気づきました。しかし、脅威アクターによって動機や手口の高度さは大きく異なります。彼らが誰であり、なぜあなたを攻撃しようとしているのかを理解することが重要です。
上のピラミッドは、攻撃者の階層構造を示しています。もし最上層の攻撃者の標的となれば、攻撃が成功する可能性は非常に高くなります。国家や大規模な組織犯罪グループは、戦略的に重要と特定したデータを取得するために、莫大なリソースを投入できるからです。一般的に、組織が大きければ大きいほど、攻撃を受ける可能性は高くなります。
基本的なサイバーセキュリティ研修やウイルス対策ソフトがあれば、ピラミッドの底辺から来る脅威の大部分からは守られるでしょう。したがって、多くの中小企業にとって最大の脅威となるのは、中層に位置する攻撃者たちです。
サイバー・キルチェーン
キルチェーンを用いて、高度な脅威アクターがどのように組織に接近してくるかを評価することで、攻撃者が貴社への攻撃を成功させるために最低限どのような手順を踏まなければならないかを理解しやすくなります。これにより、それらに対抗するための予防的または検知的な対策を構築することが可能になります。
WithSecure™キルチェーンモデルは、業界で広く使用され受け入れられている、ロッキード・マーティン社が当初作成したモデルを基にしています。当社は、攻撃の調査および対策における独自の経験から、いくつかのステップを追加しています。
対極にある選択肢
上記のいずれにも当てはまらない場合は、MDRが選択肢となります。オンプレミス環境のIT、ISO27001認証取得に伴う新たなセキュリティ要件への対応、10%を超える誤検知率、そして内部および外部からの脅威は、すべてMDRアプローチ、特に高度なUEBA(ユーザー・エンティティ・行動分析)機能を備えたMDRの導入に適しています。熟練したスタッフの採用や定着に苦労している場合も同様です。確実な対応、既存のITセキュリティリソースの解放、あるいはチームの能力強化の必要性は、いずれもMDRが適切な選択肢である可能性を示す指標となります。組織内に脅威ハンティングのノウハウがない場合や、セキュリティチームがアラートに対応できない場合も同様です。当社の「Countercept MDR」あるいはパートナー各社のマネージドEDRサービスといったMDRが、まさに適している可能性があります。特に、業界固有の要件がある場合や、国際的な英語以外の言語でのサービス提供を希望する場合、現地のパートナーが提供するMDRは極めて有用です。24時間365日のサービスが必須でない場合、パートナーによるマネージドサービスが適切なケースもあります。最後に、組織が攻撃を受けていない際にも、セキュリティインサイトの継続的な提供やセキュリティ態勢の改善に関する推奨事項を重視されるのであれば、Countercept MDRはまさに最適な選択肢です。当社の脅威ハンターは、脅威の調査や攻撃者の視点での思考に多くの時間を費やしており、これらの知見を顧客に提供することも彼らの業務の一部です。
キルチェーンの各フェーズで何が起こるか
偵察
これは、潜在的な攻撃者が外部から組織やネットワークを観察し、悪用可能な脆弱性を探すフェーズです。
Salesforceの文脈では、コミュニティポータル、Web-to-Caseフォーム、またはメール・トゥ・ケース・フローに使用されるメールアドレスの発見などが該当します。
目的
キルチェーンの最終段階は、攻撃者が目的の少なくとも一部を成功裏に達成した時点で到達します。
これには、攻撃者の動機に応じて、データの窃取、標的の操作、不正な支払いの実行、システムの破壊など、様々な行為が含まれる可能性があります
内部偵察
攻撃者がシステムへのアクセス権を獲得すると、組織やネットワークについてさらに情報を得るために、別の段階の偵察を行います。
Salesforce においては、CRM 内のパートナーや顧客の連絡先情報にアクセスしたり、Salesforce に接続されている他のシステムを特定したりすることを意味します
持続性
攻撃者はネットワークへのアクセスを獲得すると、内部に潜伏し、検知されない状態を維持しようとします。これにより、データの窃取やその他の目的の達成を継続できるからです。
攻撃者は、Salesforce Cloud 環境の内部または外部のユーザーに対して、悪意のあるファイルや URL を送信するなど、様々な手法を用いてこれを行います。
C2
C2は、セキュリティ専門家が「Command and Control(コマンド&コントロール)」の略語として使用する用語です。これは、攻撃者が侵害されたシステムを利用して、組織のネットワーク内のマルウェアを起動または制御する段階です。
横方向の移動
内部偵察により、攻撃者は、探しているデータが保存されている可能性のある組織のネットワークやインフラストラクチャの他の領域を特定できます。その後、攻撃者は様々な手法を用いて、これらの領域へのアクセス権を取得します
エクスプロイテーション
エクスプロイテーション(コード実行とも呼ばれる)とは、標的環境上で悪意のあるコードが実行される攻撃の段階です。
エクスプロイテーションは、Microsoft Office文書、PDFファイル、スクリプトなどのファイル形式の機能を悪用するなど、様々な方法で発生します。攻撃者は、一般的なソフトウェアの既知または未知(いわゆるゼロデイ)の脆弱性を悪用することもあります
配信/ウェポナイゼーション
攻撃の媒体が電子メールである場合、これは文字通り、従業員への電子メールの配信を意味します。攻撃は、Salesforceコミュニティ、直接ファイルアップロード、またはSalesforce経由で共有されたURLを介して行われることもあります。ウェポン化は追加のステップとして挙げられることがあり、配信の前または後に実施される可能性があります。
これは、攻撃者が偵察フェーズで得た情報を用いて、配信手段に悪意のあるコンテンツを仕込む段階です。
従来は送信前にこれが行われていましたが、攻撃者が用いる新しい手法として、まだ感染しておらず、標準的なセキュリティソリューションからは完全に正当なものに見えるURLを送信し、後でペイロードを追加するというものがあります
外部脅威と内部脅威
WithSecure™では、偵察および武器化の段階の前、あるいはそれと同時に発生する初期の侵入方法に基づき、内部脅威と外部脅威を区別しています。
外部脅威の典型例は、攻撃者が「顧客になりすます」など、同様の方法で信頼を得ようとするケースです。例えば、ある人材紹介会社が、その人物が実はサイバー犯罪者であることを知らずに新しい候補者を採用してしまう状況を想像してみてください。攻撃者は、まず本物の履歴書を送り、感染していないメールをやり取りして信頼関係を築いた後、武器化を行って攻撃を実行するでしょう。
一方、内部脅威の場合、攻撃者はすでに内部ユーザーを装ってアクセス権限を持っています。その権限を直接またはオンラインで購入したか、あるいはフィッシング攻撃を使って盗んだ可能性があります。いずれにせよ、攻撃者は非常に具体的な標的を定めて、容易に「デリバリー」段階へ進むことができます。
キルチェーン・フレームワークは、あらゆる種類のサイバー攻撃に通用する万能の解決策ではありません。攻撃によっては特定の段階を完全に省略したり、目的を達成するために異なる手法を用いたりする場合もあります。しかし、キルチェーンフレームワークを理解し、さまざまな脅威アクターが各段階にどのようにアプローチするかを把握することで、組織はサイバー攻撃への備えと防御を強化することができます。
Salesforce キルチェーンの例
コミュニティポータルを介した攻撃
これは外部キルチェーンの例であり、攻撃者はコミュニティのメンバーを装い、コミュニティポータルへの正当なアクセス権を持っているかのように振る舞います。
偵察:攻撃者はコミュニティポータルに登録し、新しいユーザーアカウントを作成します。
兵器化:攻撃者は、脆弱性を悪用するコードを埋め込んだ悪意のあるドキュメントを作成します。
配信:攻撃者は、悪意のあるファイルをコミュニティポータルにアップロードします。ファイルはSalesforce Experience Cloudに保存されます。
悪用:介入が失敗した場合、内部ユーザーがファイルを開き、そのデバイス上の脆弱なアプリケーション内で悪用されたペイロードが実行されます。
C2 / 持続化:攻撃者はこのユーザーのデバイスへのアクセス権を取得し、横方向の移動に進むことができます。
目的:攻撃者は、組織から機密情報や機微なデータを流出させるよう動作します。
メール・トゥ・ケースの悪用
これは別の外部キルチェーンであり、攻撃者は「メールからケース」機能を利用してSalesforce Service Cloud経由で侵入します。攻撃者は、貴社のサービスの顧客またはユーザーを装います。
偵察:攻撃者は、カスタマーサポートのリクエスト送信に使用されるメールアドレスを特定します。
配信:攻撃者はフィッシング攻撃用のウェブサイトを作成し、そのリンクをメールメッセージに添付して送信し、カスタマーサポートへの「メールからケース」リクエストを作成します。そのリンクはSalesforce組織に保存されます。
武器化:攻撃者はしばらく待機した後、作成したWebサイトに悪意のあるコードを追加します。
悪用:介入がなければ、内部ユーザーがリンクを開き、そのデバイスの脆弱なアプリケーション内で悪意のあるコードが実行されます。
C2 / 持続性:攻撃者はこのユーザーのデバイスへのアクセス権を取得し、横方向の移動に進むことができます。
目的:攻撃者は、組織から機密データやセンシティブなデータを外部へ流出させることを目指します。
サプライチェーン攻撃
Salesforceは、Salesforce Lightningプラットフォームとの統合や機能拡張のための様々な方法をサポートしています。組織は、コンテンツの作成、更新、読み取りが可能なソリューションを使用することがあり、これらのソリューションはデフォルトで信頼されているSalesforceのネイティブAPIを使用します。このキルチェーンは、攻撃者がサードパーティ製アプリケーションを利用してSalesforce Lightningに侵入する方法を示しています。
偵察: 攻撃者は、悪用可能なAppExchangeアプリを発見するか、組織が使用しておりSalesforce Lightningと連携している外部システムを侵害します。sをSalesforceに送信します。
武器化: 攻撃者は、脆弱性悪用コードや悪意のあるペイロードを含む武器化されたドキュメントを作成します。
配信: 攻撃者は、サードパーティ製アプリケーションを通じて武器化されたファイルを配信します。このファイルはホワイトリストに登録されたソースから送信されるため、デフォルトで信頼されます。
悪用: 介入がなければ、内部ユーザーがファイルを開き、悪用されたペイロードが実行されます。
C2 / 持続性: 攻撃者はこのユーザーのデバイスへのアクセス権を取得し、横方向の移動に進むことができます
目的: 攻撃者は、組織から機密データや重要なデータを外部へ流出させることを試みます。
製品紹介
WithSecureの「Cloud Protection for Salesforce」は、前述のすべての攻撃シナリオをはじめ、その他の脅威に対しても効果的に対処します。当社のソリューションは、Salesforce内でのファイルやURLのアップロード、ダウンロード、クリックが行われるたびにそれらをアクティブにスキャンし、マルウェアやフィッシングリンクなどの悪意のあるコンテンツをリアルタイムで検知・ブロックします。
当社の「Cloud Protection」ソリューションは、攻撃者が休眠状態の悪意あるペイロードを利用してセキュリティシステムを回避する「メールからケースへのアプローチ」のような高度な攻撃手法に対して特に効果的です。
Salesforceと連携して動作する当社の「Cloud Protection」ソリューションは、Salesforceのセキュリティ機能を補完するように設計されており、当社のソリューションとSalesforceの組み込みまたはアドオンのセキュリティツールとの間に重複はありません。クリックするだけで導入できるため、面倒な導入プロジェクトを必要とせず、即座に保護を得ることができます。
さらに、当社のソリューションはコンテンツのセキュリティ状況を常に可視化し、脅威の検知を支援する包括的なレポートと分析機能を提供します。また、SIEMへの統合も容易です。
高度なサイバー攻撃から防御するためには、多面的なアプローチと多層的なセキュリティ対策を講じることが不可欠です。これには、脆弱性への体系的な対応、デバイスやクラウドアプリケーションへの予防的な脅威対策の実施、そして被害を最小限に抑えるための迅速な脅威への対応が含まれます。
デモのご予約
今すぐ始める Salesforce セキュリティ対策
高いコンプライアンスが求められる業界向けに最適化された認証取得済みソリューションが、金融、医療、公共部門を含むグローバル企業のSalesforce製品を保護します。
フォームにご記入の上、送信してください:
無料15日間トライアル
Salesforce環境のコンテンツリスク診断の無料診断レポート
デモやソリューションのコンサルテーション
セットアップ・設定に関する専門家のサポート