「攻撃者もAIを悪用」巧妙化するランサムウェア最新動向
AIによるエンドポイントセキュリティのソリューションを提供するサイバーリーズンは、2012年に米国で設立された。2016年には日本にも進出し、東京、名古屋、大阪に拠点を構えてビジネスを展開している。国内に250名ほどの社員を擁し、顧客向けの営業提案だけでなく、サービスやサポートも提供する。青木氏によると、日本のユーザーからのフィードバックを元に、さらなる品質の向上にも取り組んでいるという。
組織におけるサイバー攻撃の課題として、最も懸念されているものがやはりランサムウェアだ。攻撃者にとって収益性の高いランサムウェア攻撃では、「攻撃者もAIを用いた攻撃手法を確立しています」と青木氏は指摘する。
実際の攻撃は、ビジネスメール詐欺という形で行われている。普段から付き合いのある取引先などを装ってメールを送り、不正な送金処理に誘導する。また、VPNの脆弱性を利用し、ネットワークから侵入するケースもあるという。
攻撃者は対象のシステム内部に侵入してランサムウェアを仕込んだり、機密情報を盗んだりする。そのための手口として、アカウントの乗っ取りも数多く確認されているという。「機密情報を盗むために、特定のサーバーのアカウントを盗む、あるいは侵入した端末から次の端末、さらに次の端末と移動するような攻撃も確認されています」と青木氏。一度アカウントが盗まれると、再度同じアカウントで侵入されるリスクも生じると指摘した。
ランサムウェアはある日突然実行され、ファイルが暗号化される。それだけでは終わらず、金銭も要求されることとなる。以前はファイルを利用できる状態に戻す代わりに金銭を要求するだけだったが、現在では社内の機密情報を盗み、それを「外部に公開されたくなければお金を払え」といった二重脅迫が常態化している。つまり、ランサムウェアに感染した段階で、既に社内の機密情報が盗まれているということだ。
SIEMが効果的に運用されている組織はたった35%
ランサムウェアが実行されるまでには、攻撃者によって様々な準備が行われる。初期の侵入から最終的な機密情報の盗み出しまで多くのテクニックが確認されており、それらはMITRE ATT&CKの攻撃フレームワークとしても公開されている。
たとえ攻撃者に初期侵入を許した場合でも、機密情報を盗まれて最大の被害に至る前に検知できるかが重要だ。「早い段階で止められるほど被害は少なくなり、機密情報の漏洩が防げます。初期の段階でいかに止めるかが大変重要です」と青木氏は強調する。
また、一連の攻撃の流れを確認した上で、必要な対応を即座に判断できるかも重要だ。様々なアラートの中から対策が必要なものを見極められるようにするには、SOAR(Security Orchestration, Automation and Response)やSIEM(Security Information and Event Management)と呼ばれるソリューションを活用することが有効的だ。これらを用いることで、攻撃者の振る舞いを正確に検知していち早く攻撃に対処できるという。
しかし、これらの運用は簡単ではない。CardinalOps社が、SIEMを運用して構成データを分析し、最新の攻撃を検知できるかについて調査・分析した結果、攻撃者がよく利用する14の手法が検知できる状態にあった組織は35%だったことがわかっている。また、MITRE ATT&CKが公開する攻撃のフレームワークに記載されている攻撃テクニックのうち、検出できたものはたった20%のみ。そもそも設定が誤っていて検知できないものも15%ほどあったとしている。アカウント侵害のログをSIEMに転送して活用している組織は、全体の4分の1程度だったとの結果もある。
SIEMは効果的に運用できれば、極めて優れたセキュリティ対策となる。とはいえ運用は容易ではなく、攻撃を正確に検出するにはルールの作り込みが必要だ。セキュリティ製品と連携を取り、まずは網羅的にアラートを検知できるようにすることが重要となる。その上で「設定にミスがあると、それが原因で攻撃を検知できない状態になります。セキュリティ担当者がおらず、コンサルタントに任せてルールを作る場合も、日々出てくる新しい攻撃手法に対応するために、ルールを定期的にアップデートしなければなりません」と指摘する。
SOARを用いる場合は、インシデント発生時の手順書となるプレイブックを用いて、自動で攻撃への対処を行える。しかし、これにはプレイブックの更新が必要だ。SIEMやSOARの運用に手間がかかると言われる背景には、このような日々の更新作業も含まれると青木氏は語る。
ベンダーロックインとは無縁? 新しい「XDR」の形とは
このような手間を自動化によって排除し、最新の脅威にも対応できるソリューションが「Cybereason XDR」だ。同ソリューションでは、SIEMを用いる場合に日々実施しなければならないルールの更新作業を、Cybereasonが自動で行う。データソース、ログを取得する製品との連携さえとれていれば、ルールの作り込みは不要だ。ユーザーは、自動で分析された結果を見るだけで攻撃内容が把握できる。
ユーザーによっては、CybereasonのEDR製品を用いてエンドポイントからログを収集し、同社のSOC(Security Operation Center)サービスを利用している場合もあるだろう。あるいは他のクラウドサービスやネットワーク機器などを使っており、統合SOCで網羅性のある監視を行っているかもしれない。なかにはSOCに対応していないものがあり、自社監視をしている場合もある。
これらの環境をCybereason XDRに切り替えると、各データソースのログを分析し、アラートを発信できるようになる。「CybereasonのSOCは剛速球のようなイメージで、網羅性とスピードのどちらにも強いものです。複数の製品でも1ヵ所で監視して、それらに対応するすべてのルールを自動で提供・分析します」と説明する。
アラートがあれば脅威検知を行い、攻撃の全体像は自動で可視化できる。どこから攻撃者が侵入し何が起こったのか、どこまで攻撃が進行したかが明らかになる。どの範囲で影響を受けているのかも分かるため、対応すべきことが明確化された結果、迅速な対処が可能となるのだ。
Cybereason XDRは、クラウドワークロードの監視やコンテナ、ネットワーク機器、エンドポイントを監視できる。広範囲に散らばるコンポーネントのセキュリティ運用を1ヵ所に統合することで、運用者の負担を減らし、コストの削減も期待できると青木氏は説明する。
また「Cybereason EDR」は、第三者機関である「MITRE ATT&CK Round 4」で最高評価を獲得しているソリューションだ。この情報資産を保護する強力なCybereason EDRに連動した形で動くことが、Cybereason XDRの特長の一つといえる。また、地域ごとのデータ管理として日本、EU、USの3つのデータリージョンを備えており、日本のユーザーも安心してローカルリージョンにデータを保管できるという。GDPR(General Data Protection Regulation:EU一般データ保護規則)などの法令にも柔軟に対応可能だ。
そして、ベンダーロックインのないオープンなXDRであることが最も大きな特長だ。「Cybereason XDRを利用する際に、Cybereasonの製品で統一しなければならないことはありません」と青木氏。様々なベンダーの製品と連携して分析できることも強みだと話す。その上でソリューションを販売するだけにとどまらず、サービスも提供して顧客のセキュリティ課題を解決する。自社でSOCを立ち上げたい場合には、立ち上げ支援サービスを提供することも可能だ。また侵害の痕跡を見つけたい場合には、侵害調査サービスによってトータルで支援できる。
4階層の独自分析モデルで96%の無駄なログを排除
Cybereason XDRのシステム構成は極めてシンプルだ。Cybereason EDRがクラウド環境にある状態で各エージェントを端末に展開すれば、日々ログがアップデートされる。EDRと同じクラウド上にXDRも存在するため、XDRはエージェントなしでAPIもしくは転送などでログを集め、自動で分析する。XDRとEDRが共通の基盤上で動くため、管理コンソール一つで集中監視できることも特長だ。
Cybereason XDRにおける実際の分析モデルは4階層で構成されている。まずは日々データソースからリアルタイムでログが送られた結果、各ベンダー製品でアラートになっているもの、またEDRで検知したものをTier1として集約。そして、生のログではアラートになっていなかったとしても、サイバーセキュリティの観点、たとえば振る舞い検知のロジックや統計的な検知と照らし合わせて考えた場合にアラートにしたほうがいいものを判定し直し、Tier2に分類する。
Tier3には、Tier1とTier2で集約されたデータソースを相関分析したものを集約。さらにそれらを1つの攻撃ストーリーとしてTier4に集約し、アラートとして出し直す。この出し直されたアラートを「MalOp」と呼び、これによってエンドポイントを超えた攻撃の全体像をあぶり出すことができる。
これらは実際の画面でどう可視化されるのか。XDRのダッシュボードでは、画面でログの収集状況やインテグレーションの状況、アラートの発報状況などを確認できる。たとえば、1週間に200万件のログがあり、そこからTier2で2,000件のアラートが出たとする。それを人が判断することはほぼ不可能だろう。ここにXDRを用いると、Tier3でログを相関解析し、Tier4まで絞り込んだ結果は86件となる。これら一連の絞り込みをすべて自動で行えるのだ。結果的に、この例ではログの4%のみが対処の対象となり、極めて効率的な検知方法といえる。
不審なイベント一つひとつを見ることなく、攻撃として成立している場合は時系列にアラートを並べ、何が起きているかについてログを見ながら分析することもできる。
さらに、単に問題を検知するだけでなく、その対処もリモートで可能だ。具体的には、パスワードのリセットやアクティブな通信の遮断、アカウントの停止、IPベースでの認証ブロックなどが実行でき、現在順次データソースの対応を進めているという。
同社では、このようなイベント検知などの対応を、24時間365日体制で行うSOCサービス「Managed XDR」をセットで提供している。アラート通知があった場合には、緊急度に応じユーザーにメールで通知。緊急度が高い場合は電話でも対応する。その上でどのような攻撃が発生しているか、どこまで進行したか、推奨の対処はどのようなものかなどを報告する。場合によっては、一部対処も実施する。
昨今のサイバー攻撃者は守る側と同様にAIを利用することで、攻撃自体をより活発化させ、その手法も巧妙化されることが懸念される。そのような状況下でサイバー攻撃から組織を守るためには、ネットワークやメールセキュリティ、端末のセキュリティを個々に強化するような方法では守り切れないと青木氏。
「複数のセキュリティ製品が必要であり、それらを個別に監視するのではなく、XDRやSIEMのような製品で様々なデータソースからきちんとアラートを集約し、1ヵ所で集中監視する。その上で攻撃の全体像を可視化することで、いち早く攻撃を発見して対処を行うことが極めて重要です」とあらためて強調し、セッションを締めくくった。