ランサムウェア被害が拡大 アンチウイルスソフトだけでは限界に
サイバー空間における脅威は、年々勢いを増している。令和2年下半期から2年ほどでランサムウェア被害の報告件数は5倍以上に上り、その対象は企業の規模や業種に限らず広がっている。さらに復旧までに要した期間は1週間以上と、その間事業が停滞することを鑑みると深刻な問題だ。
復旧期間が長くなる理由として、富田氏は「ほとんどの企業でバックアップを取得していたものの、実際には復旧データとして活用できないケースが多い。バックアップが同じネットワーク上に保管されており、犯人によるアンロックや削除ができるためだ」と説明する。本来は、ネットワークから切り離したところに保管することが望ましいが、コストや手間、時間がかかるだけに現実的ではないというわけだ。
なお、侵入の多くはVPN機器からが6割以上を占め、次いでリモートデスクトップから(19%)、メールや添付ファイル(9%)となっている。以前はメールが多かったもののリモートワークの普及により、VPNやデスクトップツールが狙われやすくなってきた。当然ながらパッチによる対策や、ID/パスワードの管理も必須、その上で多くの企業がアンチウイルスソフトを導入している。それでも9割以上が検知できていない状況にあったという。これを受けて富田氏は「もはやすべての脅威を防ぐことは不可能。“侵入される前提”でXDRやEDRなどによる、“侵入後の対策”を考える必要がある」と強調する。
続いて富田氏は、「セキュリティ侵害の発生から検知までに要した日数の中央値の推移」[1]を提示。それによると全世界で16日、APACで33日を要しており、ランサムウェアによる侵害になると18日、ランサムウェア以外で60日と大きく差がついた結果となっている。つまり、ランサムウェアはデータを暗号化した直後に脅迫してくるために検知は早い。しかし、一般的なマルウェアにおいては侵入後に長期間検知できず被害を受け続けることになる。侵入した脅威をいかに早く検知するか、これが侵入後対策の第一ステップになるというわけだ。
[1] 出典:『M-Trends 2023 レポート』(Mandiant、2023年5月)
マルウェア侵入後の対策 初手は「エンドポイントの行動監視」
それでは、前述したような脅威にどのように対応していくべきなのか。そもそもセキュリティ製品が大量に提供されているのにも関わらず、脅威の検知が難しいのはなぜなのか。富田氏はその理由として、まず「①正常トラフィックとの識別が難しいこと」を挙げる。正規ユーザーやツールの悪用により「②正規運用に紛れ込んで攻撃行動が行われていること」も一因だ。そして「③検知・防衛回避の高度なテクニック」、脆弱な設定やアプリケーションなど「④防御の死角」があることも大きい。
そこでまず必要なのが、EDRやXDRなどを用いた“エンドポイントの詳細な行動監視”だ。従来のアンチウイルスソフトはファイルレベルでの検知に限定されているが、EDR/XDRは「脅威ファイル検知」はもちろん、「振る舞い検知」により細かく監視していく。たとえば、富田氏が所属するSentinelOne(以下、センチネルワン)の「Singularity XDR」は、怪しい振る舞いとは何かを「脅威インテリジェンス」として学び・蓄積し、それに基づいて検知した脅威を自動的に隔離し、復旧するまでを一気通貫で行う。
このとき鍵となる「振る舞い」の判断について、富田氏は「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)」と呼ばれる、世の中で観測されている攻撃テクニックを集め、分類されているナレッジベースに基づいていると紹介。これらに記載されている「振る舞い=脅威」をどこまで検知できるかが“EDR/XDR選定のポイント”になると指摘する。なお、MITRE ATT&CKでは侵入から攻撃を回避して、ネットワークを移動し、ターゲットからデータを窃取・暗号化するといった一連の手順・テクニックも例示されている。
富田氏は「その中でも『攻撃回避のテクニック』(上図、水色の囲み部分)が非常に多く、それだけを見ても、いかに攻撃者が回避テクニックを保持しているかがわかる。こういったテクニックを分析して、正しく攻撃行動を検知できるかが製品選びの重要なポイントだ」と語った。
Active Directoryへのアクセスを阻害し、資格情報を保護する
「検知」が第一歩とはいえ、侵入者が正規の振る舞いをすることで検知そのものができないこともある。そこで「資格情報」を取得・悪用できないように保護することが必要だ。認証情報はキャッシュとして残ったものを悪用されることが多いことから、たとえば、センチネルワンの「Singularity Identity」では、認証情報を“攻撃者から見えない”ようにしたり、偽の情報を挿入したりすることで資格情報の窃取を阻止する。まずは保存されている情報を把握し、不要なものを自動的に削除したり、重要度が高いものを選定してキャッシュが残らないように設定したりとポリシーによる管理を行う。
多くの侵入者は、侵入後にまずActive Directoryへとアクセスし、高度な認証情報を得てからさまざまなデータを取得しようとする。そこでActive Directoryへのアクセスを阻害したり、偽の情報を渡して混乱させたりと資格情報を取得・使用できないようにするわけだ。もし、ダミーとなる“偽の情報”が使われれば「侵入されている」と検知でき、侵入者を効率的に暴き出すことができる。加えて、リモートデスクトップやファイルシェアなどアプリケーションからアプリケーションへの横移動(ラテラルムーブメント)をIN/OUTで検知することも可能だ。
そしてもう1つ、Active Directoryの脆弱性を調査した上で修復するという対策も有効と言えるだろう。センチネルワンの「Singularity Ranger AD」では、解析ダッシュボードで脆弱性や構成ミスの検知を行い、優先順位を付けて提示。それに基づいて設定の不備が見つかったら、用意されている修正スクリプトをダウンロードし、ADサーバーで実行するだけで修正可能だ。また、診断レポートでActive Directoryが「どのくらい攻撃されているのか」「何が問題なのか」を細かく閲覧し、対策に役立てられるという。
なお、ラテラルムーブメントに対しては、キャッシュされている情報を削除することで移動ができないように対策を打つ。仮に「シェアードアカウント」のように同一のID/パスワードで複数の端末やシステムに入れるようになっている場合には、修正するよう警告も出される。
こうしたラテラルムーブメントは、侵入者が水平移動先を見つけるために行う「ネットワーク偵察行動」を検知することで防ぐことも可能だ。たとえば、繰り返し何度もアクセスしようとしたり、普段使わない人がアクセスしたりといった異常を検知することができる。
また、そうした偵察行動やラテラルムーブメントを検知する「おとり機能」をActive Directoryに適用し、侵入者をあぶり出すことも可能だ。侵入者は、管理者など一部を除いて使われることのないPowerShellや攻撃ツールから情報を取得しようとするが、悪用を察知すると情報を遮断したり、偽の情報を流したりして対処。Active Directoryの情報を隠蔽して閲覧不可にする、得られた偽情報を悪用した瞬間にアラートが出るなどの対策で重要情報を守る。富田氏は「Active Directoryが攻撃を受ける前に、偽情報を与えて攻撃をさせない。または、権限の高い情報は渡さないという事前の防御策が取れる非常に効率的な方法」と評した。
ブラウザについても同様に、重要なCookieを隠し、偽の情報を含ませて悪用させることで検知するという手法がとれる。また、ブラウザが保存する資格情報ファイルは暗号化されてはいるものの時間をかければ解読できてしまう。だからこそ、ファイルへアクセスできないようにすることが重要だとも指摘する。
Active Directoryの内部から「Kerberos攻撃」なども検知
それでもActive Directoryに到達し、攻撃を受けることになってしまったらどうしたらいいのか。まずは、ドメイン管理者を含む任意のユーザーになりすます「ゴールデンチケット」、サーバーの管理者や利用者になりすます「シルバーチケット」などを用いて、高権限をもつ資格情報を取得する「Kerberos攻撃」への対策が欠かせない。とはいえ、リクエスト自体は正規なものと変わらず、エンドポイントからの検知は難しいだろう。そこで、センチネルワンの「Singularity Ranger AD Protect」では、Active Directoryの内部から攻撃を検知する。つまり、Active Directoryにエージェントを配置し、チケットの正当性や不正なAD情報などから攻撃を検知し、確実に防御するという。
ここまで紹介してきたようにRanger AD Protectでは、外部からActive Directoryのログを収集して脅威を検知する方法と、Active Directoryにエージェントを導入して内部から検知する方法で、エンドポイントを経由しない攻撃をサーバー側で検知することが可能だ。たとえば、前者では単一アカウントに対して多数のパスワードを試す「Password Spray」などへの対抗策として有効であり、後者は前述したような「シルバー&ゴールデンチケット」などの攻撃を検知するなど効果を発揮する。
最後に、富田氏は、「まずはエンドポイントで攻撃テクニックを細かくチェックし、AIなどを活用して自動的かつ効率的に検知していく。些細な攻撃の兆候を確認したら、大きな攻撃が発動する前に止めることが大切であり、EDR/XDRの活用が有効だ」と語り、「その上で侵入されることを想定し、対応しなければならない」と強調した。
そのためには、攻撃対象となるActive Directoryについて「Ranger AD」でアセスメントして防御力を強化し、さらに「Ranger AD Protect」で攻撃の検知・防御および、条件付きアクセスを実施していく。そして、エンドポイント側では「Singularity Identity」により偽物(デコイ)を用いた資格情報の保護や偵察行動の察知、ラテラルムーブメントパスの検知・修復などを実施する。
センチネルワンでは、セキュリティプラットフォーム「Singularity Platform」を有しており、脅威情報やログ情報を集めて分析する「Security DataLake」に集積された情報は、EPP/EDR/XDRやIdentityなどの各ソリューションでも共有・活用されている。興味のある方は問い合わせてみてはいかがだろうか。
