侵入後、横展開が始まるまでは“わずか84分”
最初に沼田氏はサイバー攻撃の現状に触れた。
ランサムウェアに限って見ても、警察庁に報告されたものだけでも2020年下半期は21件だったのが2022年上半期には114件となるなど、件数は右肩上がりで増加している。
件数の増加だけではない。ランサムウェア攻撃は高度化し、複雑化している。沼田氏は「84分」というCrowdStrikeが出した数字を紹介した。最初に侵入してから端末を侵害し、周囲を偵察して他の端末に移る“ラテラルムーブメント”を行うまでの時間だ。「横展開が行われているということは、権限昇格なども行われてかなり危険な状態になっている」と沼田氏。わずか84分で高い脅威レベルになっていると言えそうだ。
これに加え、夜間や休日など業務時間外に攻撃されるインシデントの比率が増えているというデータも紹介する。「もはやセキュリティ製品の監視は、業務の片手間でできるものではない。24時間365日体制のSOCによる監視が必須と言える」(沼田氏)。
ランサムウェア対策は「EDRだけでは不十分」
では、最近のランサムウェア攻撃はどのようになっているのか。沼田氏はランサムウェア攻撃の流れを説明した。
まず傾向として「様々な入口から侵入を行い、ネットワークの深くまで侵入して環境内をしっかり偵察する。そのため、インパクトが大きい重要なサーバーが被害に遭っている」と説明する。
流れとしては、メールや外部に公開されたVPNなどの脆弱性を利用して「侵入」し、最初に侵害した端末で探索ツールなどを使って内部を「探索」、侵害した端末を継続的に利用できるように「永続化」する。さらに、再度重要サーバーなど、さらなる足場を求めて、侵害範囲を広げる活動を行う(「再探索」)。ここが「ブレイクアウトタイム」となり、先述のように84分となる。
その後はファイルサーバーなどから情報を盗み出し、外部にアップロードするなどのことを行う(「情報搾取」)。そうした後、最後にサーバーを暗号化したり、バックアップの破壊活動を行う(「目的実行」)。
そのようなランサムウェア攻撃に対応するためには、どのようなセキュリティ製品の監視が必要なのか。沼田氏は以下の「各セキュリティ製品の監視範囲」を用いて、EDR(Endpoint Detection and Response)やIPS(不正侵入防止システム)、NDR(Network Detection and Response)からProxyやAD(Active Directory)などのネットワークや認証関連の対象を説明した。
つまり、6ステップすべてをカバーするためにはエンドポイントのみならず、ネットワークや、認証系などの情報も監視する必要がある、と沼田氏はまとめる。
インシデントの全容理解のために複数製品の相関分析は必須
実際のインシデント事例として、VPNの脆弱性を悪用して侵入して最初の端末を侵害、その後EDRが入っていない別のサーバーに移動して特権アカウントを取得して侵害ツールをダウンロードするという例を紹介した。
最初に侵害したPCにはEDRが入っていたため、侵害ツールのダウンロードを検知してブロックできた。しかし、EDRが入っていないサーバー(Server1)については検知されずに特権アカウントを使ってADに侵入された。いくつかのファイルを圧縮してアップロードし、最終的にランサムウェアが実行された。ADにはEDRが入っていため、検知・ブロックができたという。
監視状況としては、EDRのみSOCの外部サービスを使って監視していた。そのため、EDRが入っている最初のPCと最後のADについてはアラートが上がったが、EDRが入っていないサーバーでは状況を追うことができず、インシデントの全体像を把握するためには、SOCベンダーからの報告をもとに自社でアクセスログを確認しながら調査を行う必要があったという。ネットワークについては調査ができたものの、ADはログ量が多く、調査手法が確立されていなかったことで調査が難航した。
そのため、この事例では最終的にSOCで複数製品の統合監視を行うことにした。これにより、調査がすべてSOCベンダーで行われ、セキュリティ担当者は結果報告を受けるのみという体制になったそうだ。
このようなことから、昨今の脅威に対してインシデントの全体像を把握するためには複数製品の相関分析は非常に有効であるため、SOCでの統合監視が重要になる、と沼田氏。これにより、自社で個別に調査をしていた工数が削減され、セキュリティの専門家に監視を任せることでセキュリティの強化も実現できる。
なお、経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク(COSF)」をはじめ、医療関連では厚生労働省、日本自動車工業会の「自工会/部工会・サイバーセキュリティガイドライン」など、規制の面でも統合的な監視を求める動きが出てきていることも紹介した。
有効策のSOC、事業者選びにおける失敗に注意
SOCで統合監視を実現するのは、今日のサイバーセキュリティ対策として有効な策と言える。沼田氏は実際の導入事例も紹介した。
この企業は従業員数約3,000人の製造業で、それまで複数のセキュリティ製品を導入していたものの、運用に関する知識が社内にはなかったという。個別にSOCベンダーに依頼していたが、SOCベンダー側で相関関係を分析できず、工数もかかるという課題を抱えていた。
そこで統合監視サービスを導入することに。SOCベンダー1社で複数のセキュリティ製品を相関分析した上で報告するため、不要なやり取りが減るなど工数が削減。発生した事象の詳細やとるべき対策が明確になることで、対応のスピードも改善したという。
では、SOC事業者の選定にあたって注意すべき点はどのようなものがあるのか。沼田氏はまず、選定のよくある失敗例として、次の3つを挙げる。「監視対象の機器が限定的」「アウトプット内容が貧弱」「万一の際にIR(インシデントレスポンス)対応ができない」。IRサービスがない場合は別のIRベンダーに依頼をしなければならず、情報連携などに時間を要するために対応が遅れることになる。
気を付けたい、選定時の3つのポイント
このような失敗例を踏まえ、SOC事業者の選定のポイントとして、沼田氏は次の3つを挙げた。
- 時勢に合わせた監視ができる
- アウトプットが充実している
- シームレスなIR支援ができる
まず、時勢に合わせた監視とはどのようなものか。当然のことながら攻撃手法は常に変化している。これまでなら、メールやWebが主な侵入口で、攻撃手法は数台の端末を暗号化していくというものだった。これに対し、現在の侵入口は多様化し、探索を行って奥深くまで侵入するなど手法が高度化している。そのため、「様々なセキュリティ製品に対応し、脅威動向や市場ニーズなどの状況に合わせて積極的に拡張できることが重要」と沼田氏。
また、予算、環境の変更により監視対象を変更する必要が出てくるかもしれない。そこで、段階的に監視したり、他製品にリプレースした後も継続監視できるなどの「柔軟性」も大切だという。
さらに、EDRやProxyなどの各カテゴリーで特定のベンダーの製品のみに対応をするのではなく、そのカテゴリーに該当する製品であれば、ある程度幅広く対応をすることのできる事業者が望ましい、と付け加えた。
アウトプットの充実については、「現在の状況がわかりやすい」「事象に対する詳細情報がある」「複数のログの相関分析した情報がある」「具体的な推奨実施事項の情報がある」と4つの点が含まれているべき、と沼田氏。
たとえば、アラートが上がった製品の調査状況だけでなく他のログと合わせて相関分析し、その結果が記載されていれば、結果に対する納得感が上がる。また、担当者が他の人に説明する場合も、説明がしやすいだろう。特に、推奨実施事項については、「このファイルを削除してください」など具体的にとるべきアクションが記載されていることは、「一番大事なポイント」と述べる。これにより、「今何が起こっていて、どういう状態で、次に何をすればよいかが判断できる」(沼田氏)。
シームレスなIR支援については、SOCで調査した結果とIRとが連携する必要があるが、IRベンダーとSOCベンダーが異なる場合はIR事業者のヒアリングに時間がかかることが考えられる。同じ場合は内部で情報連携できるため、ヒアリングの時間は短くて済む。SOCで監視していても、万が一のインシデントが発生する可能性があるため、ここも重要なポイントと言えそうだ。
最後に沼田氏は、「エンドポイントのみでは検知できない攻撃手法が存在する。インシデントの全体把握、適切な検知や調査のためには、複数製品のログの相関分析が重要」と述べ、統合監視のためのSOCの必要性を強調した。
マクニカのセキュリティサービスをもっと知りたい方へ
本記事を読んで、マクニカのセキュリティサービスを詳しく知りたい方や相談したい方は、こちらのフォームよりお問い合わせください。
