Sysdig

SCSK株式会社

ブログ

HOME Developer Square ブログ FulcrumSec のプレイブック:Novo Nordisk 侵害の背後にいるグループを検知し阻止する方法

FulcrumSec のプレイブック:Novo Nordisk 侵害の背後にいるグループを検知し阻止する方法

金銭目的の脅威アクター「FulcrumSec」による一連のクラウド侵害(Novo Nordisk社からの1TB超のデータ窃取など)の戦術(TTP)と防御策の要約。

本グループはゼロデイではなく、ハードコードや漏洩した認証情報、パッチ未適用の脆弱性、設定ミスのクラウドストレージ等の「管理ミス」を突いて初期アクセスを得ます。侵入後は過剰な権限を持つIAMロール等を悪用して権限を横断し、数週間にわたり静かに機密データを蓄積・持ち出す「窃取して締め上げる」恐喝モデルを展開します。

防御側はシークレットの排除、長期間有効なトークンの廃止、マシンアイデンティティの最小権限化、迅速なパッチ適用が不可欠です。さらに、シグネチャに頼らず不規則なAPI呼び出しなどの異常行動を検知し、アイデンティティ・クラウド・ランタイムを横断してイベントを相関分析することが強く推奨されています。

詳細はこちら
ページトップへ