Initial Access 初期のアクセス

Web閲覧による感染とは、ユーザーがWebサイトを見ることで攻撃者がユーザーのシステムへのアクセスを得ることです。この手法では、通常、ユーザーのWebブラウザーが攻撃の対象になりますが、攻撃者はアプリケーションへのアクセストークンの取得など、改ざんされたWebサイトを使用することもあります。

意図しないまたは予期しない動作を引き起こすために、インターネットに面したコンピューターシステムまたはプログラムの弱点につけ込んだソフトウェア、データ、またはコマンドの使用。システムの弱点は、バグ、誤動作、または設計の脆弱性です。これらのアプリケーションは多くの場合Webサイトですが、データベース（SQLなど）、標準サービス（SMBまたはSSHなど）、およびWebサーバーや関連サービスなどのインターネットアクセス可能なオープンソケットを備えたその他のアプリケーションを含めることができます。悪用される欠陥に応じて、防御回避の悪用が含まれる場合があります。

VPN、Citrixのようなリモートサービスにより、ユーザーは外部から企業の内部ネットワークリソースに接続できます。多くの場合、これらのサービスの接続と資格情報認証を管理するリモートサービスゲートウェイがあります。 Windows Remote Managementなどのサービスも外部から使用できます。

攻撃者は、アクセス経路として使用するシステムまたはネットワークに、コンピューターアクセサリー、コンピューター、またはネットワークハードウェアを導入する可能性があります。 APTグループによる使用の公開リファレンスはほとんどありませんが、多くのペネトレーションテスターは初期のアクセスにハードウェアを追加します。商用およびオープンソース製品は、パッシブネットワークタッピング、中間者攻撃、キーストロークインジェクション、DMA経由のカーネルメモリ読み取り、既存のネットワークへの新しいワイヤレスアクセスの追加などの機能を利用しています。

攻撃者は、リムーバブルメディアにマルウェアをコピーし、メディアがシステムに挿入されて実行される自動実行機能を利用することにより、切断されたネットワークシステムに侵入する可能性があります。ラテラルムーブメントの場合、これはリムーバブルメディアに保存されている実行可能ファイルの変更、またはマルウェアをコピーして正当なファイルのように改名し、ユーザーを別のシステムで実行するように仕向けることにより発生します。初期アクセスの場合、これは、メディアの手動操作、メディアの初期フォーマットに使用されるシステムの変更、またはメディアのファームウェア自体の変更によって発生する場合があります。

添付ファイル型スピアフィッシングは、スピアフィッシングの亜種です。添付ファイル型スピアフィッシングは、電子メールに添付されたマルウェアを使用するという点で、他のスピアフィッシングとは異なります。スピアフィッシングは、特定の個人、会社、または業界を対象としたソーシャルエンジニアリングによって電子的に配信されます。このシナリオでは、攻撃者はファイルをスピアフィッシングメールに添付し、通常はユーザーが実行してくれることをあてにしています。

リンクを使用したスピアフィッシングは、スピアフィッシングの亜種です。添付ファイルの検査を回避するため、悪意のあるファイルを電子メールに添付する代わりに、マルウェアをダウンロードするリンクが含まれた電子メールを利用するという点で、他のスピアフィッシングとは異なります。

サービスを利用したスピアフィッシングは、スピアフィッシングの亜種です。他のスピアフィッシングとは異なり、企業のメールではなく、サードパーティサービスを使用します。

サプライチェーンの侵害とは、データまたはシステムの侵害を目的として、最終消費者が受け取る前に製品、または製品配送メカニズムを操作することです。

攻撃者は、狙った被害者にアクセスできる組織に侵入するか、または利用する可能性があります。サードパーティとの信頼関係につけこんだアクセスは、保護されていない接続を利用したり、ネットワークへアクセスする標準的な仕組みよりも緩い監視で受け入れられます。

攻撃者は、資格情報アクセス技術を使用して特定のユーザーまたはサービスアカウントの資格情報を盗むか、あるいは初期アクセスを得るためのソーシャルエンジニアリングを通じて偵察プロセスの早い段階で資格情報を取得します。