マイナビ TECH+主催のセキュリティセミナー 第12回となる「TECH+ セキュリティ - 専門家とベンダーの対話運用現場の選択肢」が2023年6月9日にオンラインで開催された。情報セキュリティ事故対応アワードの審査員を務める専門家5人とともに、各ソリューションが運用現場目線で深掘りされた。本稿では、当日開催された5つのプログラムのなかから、トレンドマイクロの講演「攻撃現場最前線からの提言 トレンドマイクロのEDR/XDRとマネージドサービスを紹介」をピックアップ。最前線で企業のインシデントに対応しているトレンドマイクロ インシデントレスポンスチーム シニアインシデントレスポンスコンサルタントの山重 徹 氏が語る、セキュリティ対策の傾向とトレンドについて紹介する。

正規のツール、コマンドを多用し、従来のセキュリティ製品から検知されずに攻撃を実行

トレンドマイクロ インシデントレスポンスチーム シニアインシデントレスポンスコンサルタント 山重 徹 氏

トレンドマイクロ
インシデントレスポンスチーム
シニアインシデントレスポンスコンサルタント 山重 徹 氏

トレンドマイクロのインシデントレスポンスチームに所属し、インシデントが発生した企業の環境調査・解析や感染経路と攻撃手法の特定、環境の復旧支援までをサポートしている山重氏が登壇した本セッションは、実際に山重氏が対応したランサムウェアのインシデント事例紹介で幕を開けた。

「ご存じの方も多いと思いますが、ランサムウェアは攻撃者が企業のIT環境に侵入した後に暗号化することで“人質”とし、身代金を要求するというサイバー攻撃の1つです。特に昨今のランサムウェア攻撃においては、明確に標的を企業・組織に定めており、ターゲットのIT環境に侵入を図ったうえで、さまざまな攻撃手法を駆使しながら、対話的に侵害範囲を広げていくというやり方が主流となっています」(山重氏) 対話的とは、社内のPCに攻撃者が遠隔で入ってきて、操作をしながら侵害を進めていく手口と山重氏。人間が操作するということで「Human Operated Ransomware」、または標的型ランサムウェアと呼称されると説明する。数多くの企業のインシデントに対応してきた山重氏は、被害件数の増加が続いている標的型ランサムウェアについての印象として「攻撃の過程で攻撃者が正規のツール、正規のコマンドを多用して攻撃をしかけてくる」ことを挙げ、パターン検出を採用した一般的なセキュリティ対策製品による検出を回避していると警鐘を鳴らす。

  • ランサムウェアインシデント事例

    ランサムウェアインシデント事例

講演で解説された事例は、Windows端末に装着したSIMカードにグローバルIPに対して攻撃者が総当たり攻撃を仕掛けて認証を突破。リモートデスクトップで侵入した後、より高い権限を目指して侵害を進めていき、横展開して侵害範囲の拡大を図るといった複数のステップで実行されたという。これら一連のプロセスは、すべて正規のツール、コマンドによって行われていると山重氏は説明する。

「たとえば認証については、Windows標準のLSASSプロセス上に保存されている認証情報をWindowsの正規コマンドを使って詐取しており、正規な手順のためセキュリティ製品に検出されませんでした。侵害範囲拡大のための横展開においても、マイクロソフトの正規ルールを悪用しています。さらに、遠隔操作を盤石にするために使われているものは多くの企業が利用している商用ツールであり、EPP(エンドポイントプロテクション)やNGAV(次世代アンチウイルス)といった従来のセキュリティ製品では検出できず、被害が拡大する結果となりました」(山重氏)

この事例で機密情報を入手した攻撃者は、自身の端末へのデータ持ち出しを図ったという。ここでも商用サービスのクラウドストレージが利用されたため検出されず、最終的にランサムウェアによるIT環境の暗号化が実行された。暗号化を盾にした脅迫に加え、詐取したデータの公開も脅迫材料とした攻撃者は、二重で身代金を要求してきたと山重氏。「初期侵入・情報探索・認証詐取・横展開・コールバック・情報持ち出し・暗号化といった攻撃のステップで、いわゆるマルウェア(コンピュータウイルス)を利用したのは、最後の暗号化、すなわちランサムウェアの実行だけです」と語り、標的型ランサムウェア攻撃に対処するには、パターン検知型のセキュリティ製品だけでなく、EDRやXDR、ASRM(アタックサーフェスリスクマネジメント)といったセキュリティソリューションを組み合わせることが重要と話を展開。トレンドマイクロが提供するSaaS型のセキュリティ運用支援プラットフォームである「Vision One」が紹介された。

EDR/XDR、ASRMといった先進的セキュリティソリューションを単一のコンソール上で操作する

Vision Oneのプラットフォームにログインすると、単一のコンソール上でEDR(Endpoint Detection and Response)、XDR(Extended Detection and Response)、ASRM(Attack Surface Risk Management)という3つのソリューションを利用できる。

  • 平時のセキュリティと有事のセキュリティ

    平時のセキュリティと有事のセキュリティ

「EDRとXDRは有事におけるセキュリティ製品で、インシデントが発生した際、その脅威をいち早く見つけ出せるリアクティブなソリューションです。一方のASRMはIT環境に潜むリスクを洗い出すための製品で、運用者は洗い出したリスクを潰していくことでインシデントの発生自体を防ぐことができます。能動的に行うプロアクティブなソリューションです」(山重氏) 山重氏は、EDRの特徴を「端末上で発生したあらゆる操作ログを収集し、そこからサイバー攻撃に関連するものを検出することで検知の幅を格段に向上できます」と語り、その反面、ログの量が増加することで検出精度や運用面での課題をクリアする必要があると課題についても言及した。トレンドマイクロのEDRソリューションでは、こうした課題を解消するため、検出ロジックに工夫を凝らしていると説明する。

  • トレンドマイクロ EDR製品の検出ロジック

    トレンドマイクロ EDR製品の検出ロジック

「トレンドマイクロのEDRでは、自社製品からテレメトリデータを収集し、「Search」(テレメトリの生データ)、「OAT」(テレメトリデータからリスクのある挙動を検出)、「Workbench」(OAT検出を相関させて悪意ある挙動を検出)と段階的にデータを相関させることで検出確度を向上させています。たとえばOATでExcelのマクロからプロセスの発生が検出され、Workbenchで同プロセスがインターネットからファイルをダウンロードしていることが検出できた場合、それをEMOTET(マルウェア)の挙動と相関し、検出するといったイメージです」(山重氏)

  • XDRによる検出の仕組み

    XDRによる検出の仕組み

山重氏は続いて、XDRはEDRを拡張したソリューションであると話した。クラウド製品やIDS/IPS、メール対策製品などトレンドマイクロのセキュリティ製品を横断して検出情報を収集し、それらを相関させることで脅威の検出確度を高められると解説。EDRとXDRを導入すれば、情報探索・認証詐取・横展開といった従来のEPP/NGAVでは検出できなかったサイバー攻撃のステップも検出できるようになると語る。

「製品ごとの検出を相関させることで、攻撃の前後の流れとその文脈を理解しやすくなります。単一の検出では判断が難しい、緊急性や重要性を即座に判断できるようになり、迅速かつ的確な対応が可能となります」(山重氏)

  • ASRMによるリスクの検出

    ASRMによるリスクの検出

さらに、プロアクティブなソリューションとなるASRMについては、「インシデント発生の背後に潜むリスクを洗い出す」ことの重要性を解説した。「今回紹介したようなランサムウェア事例では、攻撃者が環境に侵入してから目的達成(暗号化など)するまでに平均5.8日、およそ1週間かかるという調査結果が出ています。仮にEDR/XDRが攻撃を検出したのが初期侵入の4日後だった場合、残り2日しか猶予期間はありません」と語り、初期侵入前にASRMでリスクを捉えられれば、対応まで1週間の猶予期間を得られると力を込める。

山重氏は、現時点の製品仕様でASRMが可視化できるリスクとして、アカウントの侵害・脆弱性・アクティビティと挙動(休日の挙動を検出)・クラウドアプリのアクティビティ・システム設定(の不備)・XDR検出・脅威の検出・セキュリティ設定の8つを挙げ、リスクの洗い出しや可視化だけでなく、スコアによる評価や改善手順まで提示してくれるとASRMのメリットを説明。EDR/XDR、ASRMを活用することで、前述した事例におけるすべてのステップで脅威を検出できるようになると語った。

EPP/NGAVから、EDR/XDR、ASRMまでセキュリティ製品を網羅し、多層防御体制の構築を強力に支援

セッション後半では、トレンドマイクロのセキュリティエンジニアが企業のIT環境を24時間/365日監視し、アラートが上がった場合に調査から封じ込めまで迅速に対応する「Trend Managed XDR Service」や、その上位版としてインシデントレスポンスのサービスも加えた「Trend Service One Complete」といったマネージドサービスが紹介された。山重氏は「運用に不安があるのならば、マネージドサービスを利用するのも効果的です」と説明し、複数のセキュリティ製品を組み合わせた多層防御体制の構築が、ランサムウェアなど最新の脅威への対策として有効と語り、講演を締めくくった。

  • トレンドマイクロ製品ならではの強みを解説する山重氏

    トレンドマイクロ製品ならではの強みを解説する山重氏

さらに講演後には、専門家とのQ&Aセッションが展開された。山重氏は「トレンドマイクロ製品ならではの強みは?」という質問に対し、「豊富なラインナップを用意し、エンドポイントのみならず、ゲートウェイからクラウド、IDS/IPS、メールまで全領域をカバーしていることです」と回答。さらに「Vision Oneは他社のセキュリティ製品と組み合わせられるか」という質問に対しては、「他社製品であってもSIEMを通してログを吸い上げることが可能で、検出精度にもそこまで差は出ません」と答えている。

EPPやNGAVなど従来のパターン検知を用いたソリューションと、EDR/XDR、ASRMといった先進的なソリューションを単一のコンソールで管理できるトレンドマイクロのVision One、及びマネージドサービスは、多様化・複雑化を続けるサイバー攻撃に対処したいという企業にとって、極めて有効な選択肢となるはずだ。

関連リンク

・トレンドマイクロのEDR/XDR/ASRM(Vision One)の紹介資料は こちら

[PR]提供:トレンドマイクロ