General

インサイト:高まるワイパー(データの抹消)攻撃のリスク

Clock Icon 1未満 分で読めます
Related Products
Unit 42 Incident Response iconUnit 42 Incident Response

Unit 42は、イスラエルや米国の組織に影響を及ぼした複数の関連事案を含め、イランとの紛争に関連したワイパー攻撃のリスクの高まりを追跡しています 。この紛争に関連するサイバー攻撃の最新インテリジェンスについては、こちらの脅威ブリーフ脅威概要:2026年3月 イランに関連するサイバーリスクの拡大をご確認ください 。

最近の破壊的なオペレーションの主要なベクターは、Handala Hack(別名:Void Manticore、COBALT MYSTIQUE、Storm-1084/Storm-0842)による、フィッシングを通じたアイデンティティの搾取、およびMicrosoft Intuneを介した管理者権限の悪用であると報じられています 。Handala Hackは2023年後半に初めて出現しました 。当初はハクティビストのようなメッセージを掲げていましたが、現在の脅威インテリジェンスコミュニティの評価では、イラン情報治安省(MOIS)が主導するフロント組織であると見なされています

3月6日、イスラエル国家サイバー局(National Cyber Directorate)は、イランによるイスラエル組織を標的としたワイパー攻撃について警告を発しました 。

「国家サイバーコマンドは、攻撃者が企業ネットワークに侵入し、サーバーやワークステーションを削除して組織の運営を妨害しようとした事例を複数把握しています。いくつかのケースでは、攻撃者は正規の企業ユーザーのアクセスデータを入手し、それをネットワークへの初期潜入に使用していました。」

出典翻訳:Israel’s National Cyber Directorate.

以下の推奨事項は、これまでに公開された情報およびパロアルトネットワークス Unit 42の脅威インテリジェンスに基づいており、特にイラン関連の脅威アクターであるHandalaが用いる戦術に対応するものです 。

予防的なハードニング(要塞化)の推奨事項

常設特権(Standing Privileges)の排除

永続的な管理権限は、現代のアイデンティティ攻撃において単一で最大のリスク要因です 。Handalaのような攻撃者は、即座に影響を及ぼすために、「常設」(常にオンの状態)の権限を持つ価値の高いアカウントを標的にします 。

  • ジャストインタイム(JIT)アクセス:すべての管理ロールに対してJITモデルを導入してください 。認証情報はデフォルトで権限をゼロにし、正式なアクティベーションプロセスを経て初めて昇格した権限を付与するようにします。クラウドインフラストラクチャおよびアイデンティティ管理(CIEM)ソリューションは、クラウドリソースにおけるIDリスクを特定するのに役立ちます。
  • Microsoft Entra Privileged Identity Management (PIM)Entra ID PIMを使用して、対象となるロールの割り当てを管理します 。アクティベーションの前に、多要素認証(MFA)、業務上の正当な理由、および高リスクなロールについては手動承認を必須にします 。
  • CyberArk Privileged Access Management (PAM):ハイブリッド環境や複雑なマルチクラウド環境を持つ組織では、CyberArkを使用して管理者の認証情報を保管し、セッションの分離を管理してください 。CyberArkは、Intuneなどのプラットフォームの認証情報が、侵害された可能性のあるエンドポイント上に決して残らないよう設計された、管理者向けの安全なランディングゾーンを提供します。

Entra ID 管理者アカウントのハードニング

  • アカウント数の制限:ビジネス上のニーズに基づき、グローバル管理者およびIntune管理者のアカウント数を最小限に抑えます 。Cortex アイデンティティセキュリティダッシュボードのようなツールは、どのアイデンティティが管理者権限を保持しているかを発見するのに役立ちます。
  • クラウドネイティブアカウント:管理ロールにはクラウド専用アカウント(例:admin@tenant.onmicrosoft.com)を使用し、同期されたアカウントの侵害を介したオンプレミスのActive Directoryからの横展開(ラテラルムーブメント)を防止します 。
  • 緊急用(Break-glass)アカウント:標準的な条件付きアクセスポリシーから除外された緊急アクセス用アカウントを2つ維持してください 。ただし、これらはハードウェアベースのMFAで保護し、重要度の高いアラートで監視する必要があります 。一斉ワイプ機能の実行は、緊急用アカウントからのみ許可することを検討してください 。
  • 複数管理者承認(MAA)の有効化MAAでは、影響の大きい操作を実行する前に、別の管理者による確認と承認が必要になります 。ワイプや削除などのアクションに対してアクセス管理ポリシーを作成してください 。

Azure固有のセキュリティ制御の強化

  • ロールベースのアクセス制御(RBAC):デバイス管理スタッフにはグローバル管理者権限を付与するのではなく、専用のIntune管理者ロールを使用します。DeviceManagementManagedDevices.ReadWrite.All などのデバイス管理権限を持つサービスプリンシパルの棚卸しを行ってください 。
  • グループ用PIM:個人にロールを割り当てるのではなく、グループ用PIM(旧称:特権アクセスグループ)を使用してください 。Intune管理者ロールをセキュリティグループに割り当て、ユーザーをそのグループのメンバーシップの「対象」にします 。これにより、監査と承認のワークフローを統合できます 。
  • 昇格時の条件付きアクセス:PIMのアクティベーション中に認証強度ポリシーを適用します 。ワイプコマンドを発行できるロールを有効にするには、FIDO2ハードウェアキー(YubiKeyなど)やWindows Hello for Businessを必須にします 。また、サインインを企業IPアドレス範囲または信頼できる場所に限定します 。
  • セキュア管理ワークステーション(SAW)の活用:グローバル管理者がAzureにアクセスする際は、ハードニングされた特権アクセスワークステーション(PAW)の使用を必須にします 。管理業務や機密データの取り扱い専用に、独立したマシンを利用してください 。アクセスを許可する前に、エンドポイントのコンプライアンス遵守を強制します 。

セッションとトークンのセキュリティ

  • セッション有効期間の短縮:機密性の高い管理ポータル(Intune、Entra、Azureポータルなど)のセッション期間を1時間未満に短縮します 。これにより、盗まれたセッショントークンが悪用される範囲を制限できます 。
  • トークン保護:トークン保護(現在Entra IDでプレビュー段階)を有効にし、セッショントークンを発行元の特定デバイスに暗号的に紐付けます 。これにより、攻撃者が別のマシンでトークンをリプレイ(再利用)することを防止できます 。Cortex XDR の認証バイパスモジュールのようなツールは、トークンなどの認証制御を回避しようとする攻撃からの保護に役立ちます。

データガバナンスおよびデータ保護プログラムの実施

  • 機密データの検出とラベル付けデータセキュリティ態勢管理(DSPM)機能を活用して、企業のハイブリッド環境内の機密データをスキャンし、ラベルを付けます 。この分類により、きめ細かなセグメンテーション、永続的な暗号化、および自動化されたセキュリティ制御が可能になります 。これにより、データの保管場所に関わらず、組織の最も重要な資産を確実に保護できます 。
  • データ損失防止(DLP)の活用パロアルトネットワークス AI-powered Enterprise DLP のようなータの持ち出し試行を検知し、予防的にブロックする技術を導入してください 。ストレージアカウントから通常よりも大幅に多いデータが外部に送信されている場合は、直ちに調査を行う必要があります 。

監視とレスポンスの準備

  • MDR/XDRへの統合:Intuneなどのデバイス管理ツールからの監査ログ(特に RemoteWipeFactoryReset アクション)を、SIEMやXDRプラットフォームに取り込むようにします 。セキュリティオーケストレーション・自動化・レスポンス(SOAR)プラットフォームなどの自動化を活用し、悪意のあるイベントに迅速に対応できるようにします 。Cortex XSIAM のような SOC プラットフォームは、これらの機能を1つのソリューション内で実行できます。
  • 異常アクティビティのアラート:大規模なワイプイベントに対する特定のアラートを設定します 。短時間に特定の閾値(例:5台または10台)を超えるデバイスがワイプの対象となった場合、システムは実行した管理者アカウントを自動的に即時ロックアウトするようにします 。また、管理者が異なる場所(新しい国からのサインインなど)や承認されていないネットワークからサインインした場合に検知してアラートを出せるよう、Entraのサインインログを監視します 。
  • オフラインバックアップ:重要なデータの、変更不可で物理的に隔離されたオフラインのバックアップを維持してください 。この脅威アクターの目的は、金銭的な恐喝よりも純粋な妨害(ワイパー活動)であることが多いため、変更不可のソースから復元できることが、唯一の復旧手段となる可能性があります 。
  • エンドユーザー教育と机上演習:頻繁なフィッシング訓練、スタッフ向けのサイバーセキュリティトレーニングを実施し、破壊的な脅威アクターの活動を想定した机上演習を行ってください 。

侵害の恐れがある場合や緊急の対応が必要な場合は、Unit 42のインシデントレスポンスチームまでご連絡ください 。

  • 北米(フリーダイヤル): +1 (866) 486-4842 (866.4.UNIT42)
  • 英国: +44.20.3743.3660
  • 欧州・中東: +31.20.299.3130
  • アジア: +65.6983.8730
  • 日本: +81.50.1790.0200
  • オーストラリア: +61.2.4062.7950
  • インド: 000 800 050 45107
  • 韓国: +82.080.467.8774

タグ

目次

関連記事

関連項目 General リソース

Enlarged Image

最新ニュース、イベント情報、脅威アラートを配信

Default Heading

Read the article Right Arrow