96％のログは対処不要？ 4つの階層分析モデルとAI自動化で実現する“次世代セキュリティ運用法”

「攻撃者もAIを悪用」巧妙化するランサムウェア最新動向

　AIによるエンドポイントセキュリティのソリューションを提供するサイバーリーズンは、2012年に米国で設立された。2016年には日本にも進出し、東京、名古屋、大阪に拠点を構えてビジネスを展開している。国内に250名ほどの社員を擁し、顧客向けの営業提案だけでなく、サービスやサポートも提供する。青木氏によると、日本のユーザーからのフィードバックを元に、さらなる品質の向上にも取り組んでいるという。

　組織におけるサイバー攻撃の課題として、最も懸念されているものがやはりランサムウェアだ。攻撃者にとって収益性の高いランサムウェア攻撃では、「攻撃者もAIを用いた攻撃手法を確立しています」と青木氏は指摘する。

　実際の攻撃は、ビジネスメール詐欺という形で行われている。普段から付き合いのある取引先などを装ってメールを送り、不正な送金処理に誘導する。また、VPNの脆弱性を利用し、ネットワークから侵入するケースもあるという。

　攻撃者は対象のシステム内部に侵入してランサムウェアを仕込んだり、機密情報を盗んだりする。そのための手口として、アカウントの乗っ取りも数多く確認されているという。「機密情報を盗むために、特定のサーバーのアカウントを盗む、あるいは侵入した端末から次の端末、さらに次の端末と移動するような攻撃も確認されています」と青木氏。一度アカウントが盗まれると、再度同じアカウントで侵入されるリスクも生じると指摘した。

　ランサムウェアはある日突然実行され、ファイルが暗号化される。それだけでは終わらず、金銭も要求されることとなる。以前はファイルを利用できる状態に戻す代わりに金銭を要求するだけだったが、現在では社内の機密情報を盗み、それを「外部に公開されたくなければお金を払え」といった二重脅迫が常態化している。つまり、ランサムウェアに感染した段階で、既に社内の機密情報が盗まれているということだ。

SIEMが効果的に運用されている組織はたった35％

　ランサムウェアが実行されるまでには、攻撃者によって様々な準備が行われる。初期の侵入から最終的な機密情報の盗み出しまで多くのテクニックが確認されており、それらはMITRE ATT&CKの攻撃フレームワークとしても公開されている。

　たとえ攻撃者に初期侵入を許した場合でも、機密情報を盗まれて最大の被害に至る前に検知できるかが重要だ。「早い段階で止められるほど被害は少なくなり、機密情報の漏洩が防げます。初期の段階でいかに止めるかが大変重要です」と青木氏は強調する。

　また、一連の攻撃の流れを確認した上で、必要な対応を即座に判断できるかも重要だ。様々なアラートの中から対策が必要なものを見極められるようにするには、SOAR（Security Orchestration, Automation and Response）やSIEM（Security Information and Event Management）と呼ばれるソリューションを活用することが有効的だ。これらを用いることで、攻撃者の振る舞いを正確に検知していち早く攻撃に対処できるという。

　しかし、これらの運用は簡単ではない。CardinalOps社が、SIEMを運用して構成データを分析し、最新の攻撃を検知できるかについて調査・分析した結果、攻撃者がよく利用する14の手法が検知できる状態にあった組織は35％だったことがわかっている。また、MITRE ATT&CKが公開する攻撃のフレームワークに記載されている攻撃テクニックのうち、検出できたものはたった20％のみ。そもそも設定が誤っていて検知できないものも15％ほどあったとしている。アカウント侵害のログをSIEMに転送して活用している組織は、全体の4分の1程度だったとの結果もある。

　SIEMは効果的に運用できれば、極めて優れたセキュリティ対策となる。とはいえ運用は容易ではなく、攻撃を正確に検出するにはルールの作り込みが必要だ。セキュリティ製品と連携を取り、まずは網羅的にアラートを検知できるようにすることが重要となる。その上で「設定にミスがあると、それが原因で攻撃を検知できない状態になります。セキュリティ担当者がおらず、コンサルタントに任せてルールを作る場合も、日々出てくる新しい攻撃手法に対応するために、ルールを定期的にアップデートしなければなりません」と指摘する。

　SOARを用いる場合は、インシデント発生時の手順書となるプレイブックを用いて、自動で攻撃への対処を行える。しかし、これにはプレイブックの更新が必要だ。SIEMやSOARの運用に手間がかかると言われる背景には、このような日々の更新作業も含まれると青木氏は語る。