組織がリモートワーク機能と大規模なクラウドシステムへの依存度を高めるにつれて、サイバー攻撃に対する脆弱性が高まります。権限昇格攻撃は一般的で複雑な脅威であり、あらゆるネットワークが標的になる可能性があります。

任意のアセットが侵入者のエントリポイントになり得る場合は、組織に複数の防御戦略が必要です。権限昇格プロセスを理解することは、広範なネットワーク攻撃の防止と防御に向けた重要な第一歩です。

権限昇格とは

権限昇格攻撃は、システムに不正な権限でアクセスするように意図されたサイバー攻撃です。攻撃者は、人間の振る舞い、あるいはオペレーティングシステムやウェブアプリケーションの設計上の欠陥またはミスを悪用します。これは、ラテラルムーブメント（サイバー攻撃者が価値の高いアセットを求めてネットワークの奥深くに移動する戦術）と密接に関連しています。

この攻撃により、内部ユーザーまたは外部ユーザーが不正なシステム権限を獲得することになります。侵害の程度に応じて、悪意のあるアクターは軽微または重大な損害を与えることができます。つまり、単なる不正なEメールだったり、膨大な量のデータに対するランサムウェア攻撃だったりします。攻撃が検知されないでいると、オペレーティングシステムに対する持続的標的型攻撃（APT攻撃）が発生する恐れがあります。

権限昇格の仕組み

攻撃者は、通常、人間の行動を操ることを基本とするソーシャルエンジニアリング手法から始めて、権限昇格を実行します。最も基本的なものは、フィッシング（有害なリンクを含む電子通信）です。攻撃者が個人のアカウントを侵害すると、ネットワーク全体が曝露されます。

攻撃者は、認証情報の窃取を通じて最初のエントリーまたは基本的な権限を許可する、組織の防御上の弱点を探します。以下で詳しく説明するように、このような脆弱性を悪用すると、さらに権限を昇格させることができます。したがって、効果的な戦略では、防御、検知、および迅速なアクションのための手法を組み合わせる必要があります。

権限昇格手法

権限昇格手法は、ローカルまたはリモートで実行できます。ローカルの権限昇格は、一般に組織内の誰かによってオンサイトで開始されます。リモートの昇格は、ほとんどどこからでも開始できます。決然とした攻撃者にとっては、どちらのアプローチも効果的です。

権限昇格の主な種類

攻撃は、主に次の2種類に分類されます。

水平権限昇格（またはアカウントの乗っ取り）の場合、攻撃者は、下位レベルの権限を持つ標準ユーザーアカウントへの特権アクセス権を取得します。侵入者は、従業員のユーザー名とパスワードを盗み、Eメール、ファイル、および従業員が属するウェブアプリケーションまたはサブネットワークにアクセスできるようにします。この足がかりを得ると、攻撃者は、ネットワーク内を水平に移動し、同様の権限を持つアカウント間で特権アクセス権の範囲を拡大できます。

垂直権限昇格（または権限昇格）の場合も始まりは似ています。攻撃者は、足がかりを利用して垂直方向の権限昇格を試み、より高い権限持つアカウントへのアクセス権を取得します。例えば、ITヘルプデスク担当者やシステム管理者など、管理者権限またはrootアクセス権限を持つアカウントが標的になる場合があります。特権アカウントは、他のアカウントに侵入するために使用できます。

垂直権限昇格と水平権限昇格の違い

簡単に言えば、水平権限昇格とは、元のアカウントと似た権限を持つアカウントへのアクセス権を取得することです。これに対し、垂直権限昇格の場合は、より多くの権限とアクセス許可を持つアカウントへのアクセス権を取得します。攻撃者は、標準ユーザーアカウントから始め、それを使用して、管理者権限を持つより上位レベルのアカウントを侵害すると考えられます。

アカウントが備える権限が多いほど、悪意のあるアクターによる直接的な損害が大きくなります。それがITヘルプデスクアカウントであれば、標準ユーザーアカウントに損害を与える恐れがあり、それ自体が垂直昇格のポイントになる可能性があります。また、侵害されたアカウントの数が増えるにつれてネットワークへのリスクも高まるため、水平攻撃も危険です。あらゆる脆弱なポイントが、攻撃者がシステムを深く掘り下げて調べるための入り口であるため、水平攻撃と垂直攻撃の両方に迅速に対処する必要があります。

その他の種類の権限昇格手法

サイバー攻撃者は、アカウントに侵入してシステムを侵害するための新しい方法を常に開発していますが、依然としてフィッシングが広く使用されています。攻撃者は、広範で無差別的であるか、慎重に標的が絞られているかにかかわらず、こうした偽のメッセージを立案し、ユーザーをだまして認証情報を共有させたり、マルウェアをダウンロードさせたり、ネットワークを公開させて不正使用できるようにします。

その他の種類のソーシャルエンジニアリング攻撃には、以下のものがあります。

• サイバースクワッティングまたはタイポスクワッティング：URLをハイジャックするか、偽のURLを作成してクリックを誘導します。攻撃者は、偽のトップレベルドメイン（Sample.co、.cm、.orgなど、.comではない）を使用するか、スペルを微妙に変えた名前（Sampe.com、Sarnple.com、Samp1e.comなど）を使用します。
• パスワードの露出：ユーザーが自発的にパスワードを公開し、友人や同僚と共有していることがあります。無意識のうちにそうしていることが多く、職場環境内のわかりやすい場所にパスワードを書き留めていたり、パスワードを推測しやすいものにしていたりする場合があります。
• セキュリティ質問の露出：ユーザーがパスワードを忘れることは珍しくありません。その場合、通常は新しいパスワードを作成するためにセキュリティ質問に答える必要があります。ソーシャルメディアのおかげで、セキュリティ質問に対する回答は、これまでになく簡単に見つかります。（「誰も知らないあなたの秘密のトップ5」を尋ねる話題の質問や投稿に注意してください）。
• ビッシング（または「音声フィッシング」）：攻撃者は、権威のある人物になりすまして従業員に電話し、だまして権限情報を聞き出したり、マルウェアをインストールさせたりする可能性があります。

攻撃者は、技術的な支援に頼る手法を使用する場合もあります。ブルートフォース攻撃と認証情報ダンプが最も一般的ですが、それ以外にも多くの手法があります。

• ブルートフォース攻撃：この攻撃は、パスワードの体系的な自動推測を必要とし、パスワード要件が不十分なシステムに対して特に効果的です。
• 認証情報ダンプ：この攻撃では、攻撃者はネットワークへの不正アクセス権を取得し、複数の認証情報を一度に窃取します。
• ショルダーサーフィン：この攻撃では、個人の認証情報を盗むのに、安全でないネットワークを利用するか、個人のデバイスに不正侵入する方法が用いられます。
• 辞書攻撃：この種類の攻撃では、悪意のあるアクターは、ネットワークのパスワードの長さと要件に基づいて一般的な単語を組み合わせて、考えられるパスワードを作成します。
• パスワードスプレー：この種類の攻撃では、いくつかの一般的なパスワード（「password」、「qwerty」、「123456」など）を使用する試行の自動化によって、一度に多くのアカウントにアクセスしてみます。
• クレデンシャルスタッフィング：攻撃者は、あるシステムの認証情報を別のシステムで試します。これがうまくいくのは、複数のネットワークでパスワードを再利用している人が非常に多くいるためです。
• Pass the Hashまたはレインボーテーブル攻撃：この種類の攻撃には、パスワードを「ハッシュ化」またはスクランブルするアルゴリズムが含まれています。
• パスワードの変更とリセット：高度な攻撃者は、新しいパスワードの設定プロセスを悪用する方法を見つける可能性があります。セキュリティ質問に対する答えを知っていれば、攻撃者自身が新しいパスワードを要求することもできます。

WindowsサーバーとLinuxオペレーティングシステムは、どちらも攻撃に対して脆弱です。Windowsの権限昇格では、多くの場合、トークンの操作、ユーザーアカウント制御のバイパス、またはDLL（ダイナミックリンクライブラリ）ハイジャックが使用されます。一般的なLinuxシステムの権限昇格攻撃には、列挙、カーネルエクスプロイト、およびSudoアクセスを使用したroot権限の取得が含まれます。盗まれた認証情報によって提供されるアクセス権は非常に強力であるため、攻撃者は、Linuxの権限を昇格させる新しい方法を見つけることに非常に意欲的です。

権限昇格の防御戦略

防御には、不断のプロアクティブな警戒が必要です。ネットワークを使用するあらゆるビジネスでは、どのユーザーもある程度の脆弱性があるため、被害に遭う恐れがあります。つまり、防御戦略は包括的かつ包容的でなければならず、共有サイバースペースを保護できるようにシステム内のすべてのユーザーの協力を得る必要があります。防御策が失敗する場合は、最悪の結果を防ぐために、迅速に実施できる準備が整った行動計画とともに、検知手段も講じる必要があります。