🛡 概要
Scattered Spiderハッカーは、アメリカの小売業、航空業、輸送業、保険業などの企業を標的にし、VMware ESXiハイパーバイザーに対する攻撃を行っています。このグループは、脆弱性を悪用せず、社会工学を駆使してセキュリティプログラムを巧みに回避する手法を用いています。攻撃者は、ITヘルプデスクの従業員を装い、Active Directoryのパスワードを変更させることで初期アクセスを取得します。
🔍 技術詳細
Scattered Spiderの攻撃は、特定の高価値な管理者の名前を取得した後、再度ヘルプデスクに電話をかけ、特権ユーザーを装ってパスワードリセットを要求します。この手法により、彼らはVMware vCenter Server Appliance(vCSA)へのアクセスを得て、ESXiホストでSSH接続を有効化し、rootパスワードをリセットします。その後、ディスクスワップ攻撃を実行し、Active Directoryの重要なデータベースであるNTDS.ditを抽出します。CVEやCVSSに関する情報は確認されていませんが、この攻撃の手法は非常に巧妙であり、伝統的なセキュリティ対策を回避する能力が高いです。
⚠ 影響
Scattered Spiderの攻撃は、企業の仮想インフラ全体に対して前例のないレベルの制御をもたらします。攻撃者は、バックアップ機器やスナップショットを含むすべての資産を管理できるため、企業は重大なデータ損失やサービス停止のリスクにさらされます。特に、攻撃が数時間で完了する可能性があるため、早期の発見が困難です。さらに、VMwareインフラが適切に理解されていない場合、セキュリティ対策が不十分になることが多く、攻撃者にとって格好の標的となります。
🛠 対策
Googleは、Scattered Spider攻撃から企業を保護するための技術的な手法を提案しています。まず、vSphereをexecInstalledOnlyでロックダウンし、VM暗号化を実施、SSHを無効にすることが重要です。また、ESXi上での直接的なAD結合を避け、孤立したVMを削除し、厳格な多要素認証(MFA)およびアクセスポリシーを強制する必要があります。さらに、SIEMにログを集中管理し、管理者グループの変更やSSHの有効化などの重要な行動に対してアラートを発することが推奨されます。これらの対策により、早期に侵入を検知し、被害を最小限に抑えることが可能になります。
