[レポート][株式会社CyCraft Japan] AI主導のIDアタックサーフェスの可視化でIDの誤設定をあぶり出す – CODE BLUE 2023 #codeblue_jp

CODE BLUE 2023で行われた以下のセッションのレポートです。

[株式会社CyCraft Japan] AI主導のIDアタックサーフェスの可視化でIDの誤設定をあぶり出す

企業や組織におけるID管理は複雑であり、一つの課題となっています。様々な業務が絡み合う中、組織は膨大な数のユーザー、グループ、アプリケーションと戦っています。Active Directory (AD)やAzure Active Directory (AAD)内の継承可能なアクセス許可は、ITシステムの専門家でも判別が困難になっています。権限の複雑な関係性は、IDの権限管理の面でセキュリティの盲点となっています。 そこで、組織のID管理に必要なIdentity Attack Surface Management（IASM）が提案されています。今回は、ADおよびAADに焦点をあてます。IDの探索を自動化し、構成ミス、隠れた管理者アカウント、過剰な権限などの潜在的なセキュリティ問題を明らかにします。Identity Attack Surfaceの可視化により、問題のあるIDを特定するだけでなく、それらの複雑な関係性を確認することが可能になります。 私たちが提案するADを対象としたIASMでは、AIを活用して攻撃対象領域を視覚化します。言語モデルを用いたAIによるバーチャルIDアナリストは、人間の専門家が IDと権限の複雑な定義を理解できるように支援し、推奨アクションを提案します。さらに、グラフベースの機械学習技術を活用して、最も効果的な緩和策を探し出し、実用的な対応を促します。 最後に、IASM サービスに関するケーススタディから得た経験を紹介します。現実的なケーススタディは、ID管理において多くの組織が知らず知らずのうちに行ってしまっている失敗を明らかにします。

resented by : 村上 弘和 (シニアリサーチャー, 東京電機大学サイバーセキュリティ研究所研究員, 情報処理安全確保支援士) チャングクァーン・チェン(CyCraft セキュリティ研究ディレクター)

レポート

• CyCraftについて
  • 2017年創業
  • AIを使ったフォレンジックサービスをベースとしたEDRなどの提供を行っている
• Attack Surface Managementという考えが出てきている
  • Attack Surfaceとは：攻撃者が侵入したり、データを盗むといった活動をする可能性があるシステム、環境にある境界上の各点のこと。
  • いま多いのはExternal Attack Surface Management(EASM、外部からの攻撃可能な面への管理)とIdentify Attack Surface Management(IASM、IDの把握・管理)
  • このセッションはIASMをメインに話していく
• IDの管理は複雑になってきている
  • 多くのアプリケーションで管理が必要
  • ITのプロフェッショナルからみても複雑
  • そのため盲点が出てきている
• 管理のアプローチとして可視化して関係性を理解すること。過剰な権限などを検知する。
  • そのためにAIを利用してアプローチする
  • LLM（大規模言語モデル）を利用して説明する
  • 複数のAIを混ぜて解析する
  • Bad practiceをあぶりだす
• 脅威とリスク
  • 管理しようとしているのは戦場である。どうすればいいのか？
  • これまでは境界防御がメインの考え方だった
    • Attack Surfaceは外から見えるものではない（境界防御の場合、FirewallとVPNが主に考えられるがそれだけではない）
  • Attack Vector（攻撃手段）→Attack Path（攻撃経路）→Attack Surfaceという流れで見ていく
    • Attack Vector：脆弱性やソーシャルエンジニアリング
    • Attack Path：Attack Vectorを用いて、Attack Surfaceまでたどり着く経路
    • Attack Surface：攻撃者が影響を与えるシステムの境界面
    • Attack Pathを知ることにより現状の問題を知ることになる。パスの解析にはAttack Vectorを知る必要がある。
  • CyCraftでは、XCockpitというパスを可視化する製品を開発している
    • LLMをベースとしたAIアナリストを構築している
    • 複雑な問題をAIがわかりやすい言葉で説明してくれる
    • 実際どのように解析していくか？
      • Identity Collection：自動的にIDの情報を集める
      • Relationship Mapping：アカウントの関係性を解析してマッピングする
      • Attack Simulation：攻撃のシミュレーションをAIを利用して行う
      • Overall Landscape：問題について可視化し、説明をする
  • あなたの会社のアカウント数をご存知ですか？
    • 一般にはTier0〜2の3階層がある。Tier0は重要システムの管理アカウント、Tier2は一般ユーザー
    • Tier2のユーザー権限でも、Tier0のユーザー権限にリーチできてしまう（権限昇格できてしまう）場合がある
    • 例：16000ほどアカウントがあるアカウント
      • 権限昇格が可能なアカウントが多数あった
      • つながりが見えないと分からない。そのつながりを可視化する
  • 実際の攻撃事例
    •  CASE1
      • 証明書のテンプレートの設定が誤っており、攻撃者がADの任意のユーザーになりすますことができた（＝Tier0のユーザーになりすませる）
    • CASE2
      • ヘルプデスクのメンバーの一般ユーザーが、Tier2の位置づけなものの所属しているヘルプデスクのグループにドメインコントローラーの権限を編集できる権限があった
    • CASE3
      • 一般ユーザーに対してAzureのKey Vaultへの権限のリクエストが可能で、フィッシングのメールを通じてこのユーザーが攻撃者のアプリにAzureのKey Vaultへの権限を許可してしまった
    • 設定が多岐にわたるため、どこが問題なのか気づきにくい（ので、解析して検知することが必要）
  • CyCraftGPT：こうした攻撃についてAIが説明してくれる
  • XCockpitでは対応スクリプトをAIで生成する機能も開発中
• まとめ
  • Attack Surface ManagementにはEASMとIASMがある
  • IDのAttack PathをAIベースで解析する
  • 誤設定を検知する
  • AIベースでアプローチする

感想

• AIを利用して、攻撃の解析だけでなく説明をする、という点がモダンだな、と思いました。たしかにAIによってわかりやすく説明してもらえることは、管理者にとっては非常に助かりますね。
• ID管理が煩雑であり、権限昇格の可能性がある誤設定を人力だけで検知することは非常に難しくなっていると感じます。こうした複雑な情報の解析へのAIの利用は、より進んでいくだろうと思います。