攻撃者は利用者のユーザーIDを侵害した後、社内ネットワーク内の資産に垂直方向・水平方向に移動して侵入や攻撃を行い、より高度なアクセス権限を得る権限昇格を繰り返し行います。そして最終的に、目標とするシステムの特権IDを入手して、ランサムウェア攻撃など実際の攻撃行動に移ります。 　実際の事例を見ていきましょう。 　これは昨年発生した、アメリカの大手Integrated Resort(IR)事業者の例です。攻撃者はまず、ソーシャルエンジニアリング攻撃で、高い権限を持つユーザーのID・パスワードを入手しました。さらに、当該ユーザーのSNSプロフィールから得た情報を利用してヘルプデスクをだまし、MFA(多要素認証)をリセットして、当該ユーザーのIDを侵害することに成功しました。

　その後、攻撃者は当該ユーザーになりすまして機密情報を盗み出したうえ、さらにランサムウェア攻撃によって数百台のサーバーを暗号化し、IR事業者の業務を停止に追い込んで、数億ドルの損害を与えました。 　近年はクラウドサービスの台頭によって、企業・組織のユーザーが、ブラウザ上のWebアプリケーション(Webアプリ)経由で貴重な情報資産にアクセスするケースも増えています。最近の新たな攻撃手法としては、Webアプリにアクセスする際にブラウザが利用する、端末に保存されたCookie(クッキー)情報を狙った「クッキーハイジャック攻撃」があります。

　クッキーには、Webアプリの認証無しでWebアプリへのアクセスを可能にする「セッショントークン」が含まれており、この情報を搾取することで、Webアプリ上で管理されている企業・組織の重要な情報資産にアクセスすることができます。昨年には、ID管理システムを提供する外資系大手事業者の顧客向けサポートシステムが侵害され、悪意を持った攻撃者が、顧客がアップロードした通信ログからクッキー情報を盗用し、顧客のネットワークやシステムへのアクセスを試みるというインシデントもありました。