不正アクセスを許しているのでは?」という漠然とした不安

今回は、サイバーリーズンのEDR製品「Cybereason EDR」を導入したことで、大規模な国家主導型のAPT(Advanced Persistent Threat)攻撃(高度標的型攻撃)による被害をすんでのところで免れたとある企業の事例を紹介したいと思います。

数千人規模の従業員を擁し、世界中でビジネスを展開する大手グローバル企業B社では、顧客情報や知的財産情報をはじめとする膨大な量の機密情報を管理しており、これらをサイバー攻撃から守るために入念なセキュリティ対策を講じてきました。にもかかわらず、同社のセキュリティチームはある時点から何となく不穏な動きを察知しており、「外部の何者かが機密情報のリポジトリに不正アクセスしているのではないか?」という疑念を抱いていました。

しかし、B社ではさまざまなセキュリティ製品を導入していたにもかかわらず、「何となくおかしい」という曖昧な兆候がわずかに検知されただけで、不正アクセスを裏付ける決定的な証拠をつかむことができませんでした。そのため本格的なインシデント対応に乗り出すこともできず、ただただ不安に苛まれる日々が続いていました。

そこでB社のセキュリティチームは、現在社内で何が起きているのかをきちんと把握するために、Cybereason EDRを導入してエンドポイント上の脅威を徹底的に可視化することにしました。まずは、社内に存在する数万台におよぶPCやサーバすべてにCybereason EDRのクライアントモジュールを導入する必要がありましたが、予想に反して導入作業は短時間のうちに終了し、作業を始めてわずか数時間後にはエンドポイント上の脅威情報の収集を始めることができました。その間、PCやサーバの動作に影響が及ぶことは一切なく、従業員の生産性が低下することもなかったといいます。

正規ツールを使った巧妙な手口をCybereason EDRで可視化

Cybereason EDRによる脅威情報の収集と解析が始まって間もなく、B社のセキュリティチームが抱いていた疑念は確信へと変わりました。Cybereason EDRの管理コンソールの画面上に、悪意のあるアクティビティを示す幾つもの兆候が現れたのです。具体的には、エンドポイントへの最初の攻撃が、フィッシングメールを通じて感染した「PlugX」と呼ばれるマルウェアによって行われたことが判明しました。

これを手掛かりに、B社のセキュリティチームは攻撃者がどのような経路を辿り、どんな類の攻撃を仕掛けているかを徐々に解明していきました。その結果、攻撃者はマイクロソフトの正規ツールを使うことで、セキュリティソフトによる検知を巧みにすり抜けながら移動や侵入を繰り返していることが分かりました。例えばNetshを使ってファイアウォールを通過し、ネイティブSQLユーティリティを使ってデータベースをダンプし、さらにWMIを使って組織内のコンピュータの間を移動しといった具合でした。

このように正規のツールを使った挙動は、ほとんどのセキュリティツールでは不正と判断されませんが、Cybereason EDRはIT環境を総合的な観点から判断し、行われているすべてのアクティビティを監視することによって、一見すると無害のように見える挙動が実は攻撃の一環であることを特定するのです。

わずか10時間で侵害状況の全容を把握することに成功

最終的にセキュリティチームは、ドメインコントローラを含む12台のコンピュータが侵害を受けていることを突き止めました。B社では侵害の兆候をつかんで以来、すべての従業員に対してパスワードの変更を指示していましたが、実はその裏で攻撃者はパスワードが保存されているドメインコントローラに不正アクセスし、変更後のパスワードも入手していたのです。

こうして最初の発見からわずか10時間後には、Cybereason EDRの管理コンソールを通じてセキュリティ侵害状況のほぼ全容を解明することに成功しました。セキュリティチームは感染したコンピュータを急遽ネットワークから隔離し、それ以上被害が拡大することを防ぐとともに、その後も継続してCybereason EDRによる監視を続けました。その結果、幸いにもそれ以上の脅威が検知されることはありませんでした。その後B社は社内のすべての部門にCybereason EDRを導入し、全社的な脅威の監視・検知を行うようになったといいます。

B社のように、さまざまなセキュリティ製品を導入して「万全の対策を講じている」と自負する企業でも、いったん内部に侵入を許した脅威はなかなか捕まえることができません。その点Cybereason EDRは、既存のエンドポイントの動作にほとんど影響を与えることなく手軽に導入できる上、本事例でも紹介したように、わずか短期間のうちに脅威の詳細を子細に可視化できます。また、正規ツールを使うことで正常な挙動を装う巧妙な攻撃手口も、しっかり見破ることができます。

近年では、攻撃の手口が極めて高度化・巧妙化しているために、侵入を100%防ぐのはもはや不可能だと言われています。そんな中、今回紹介したB社の例のように、「気付かぬうちに侵入を許しているのではないか……」と不安に苛まれているセキュリティ管理者も多いことでしょう。そんな方にとって、Cybereason EDRのような製品はまさに打ってつけのソリューションだと言えるでしょう。

ケーススタディ「グローバル企業での大規模なAPT攻撃の検知と遮断」

ハッキングを受けているのではないかと疑念を抱きながらも、決定的な証拠を掴めなかったグローバル企業の実話に基づいたストーリーです。どのようにAPT攻撃を受け、対処したのかご覧ください。
https://www.cybereason.co.jp/product-documents/case-study/597/

ケーススタディ「グローバル製薬会社における セキュリティ検知と改善策の円滑化」