高度な脅威に対する新たな視点

攻撃者は年々、侵入するための戦術、技術、手順(TTP)を洗練させ、検知を回避し、目的を達成するまで粘ります。MITRE ATT&CK® Evaluationsは、独立した評価機関として高い評価を得ており、最新の脅威に対するセキュリティベンダーの対応状況について重要なインサイトを提供しています。2024年(通称「第6ラウンド」)、MITREの評価範囲は野心的なものでした。

  • Windows(Linuxを含む)ランサムウェアの動作 – 高度な「窃取、暗号化、漏洩」キャンペーンを通じて世界中の組織を悩ませ続けている悪名高いClopランサムウェアおよびLockBitランサムウェアをエミュレートしています。
  • macOSへの脅威 – 特に高価値データの窃取を目的とした多段階のマルウェアを中心に、北朝鮮の進化する能力を反映しています。

MITREは、これらの現実的なシナリオに対して防御ソリューションを評価することで、さまざまなテクノロジーがさまざまな高度な攻撃にどのように対処するかを組織が把握できるように支援します。このラウンドで特に注目された1つは、詳細な可視性、最小限のアラートノイズ、迅速な修復を実現するサイバーリーズンのMalOp™テクノロジーでした。

MITRE ROUND6が重要な理由

ランサムウェアは、あらゆる業界で最も被害の大きいサイバー攻撃の1つです。2024年には、LockBitが世界中で最も多く使用されたランサムウェアの亜種となり、Clopも同様に金融サービス、医療、製造、政府機関などを標的にしています。その一方で、北朝鮮が関連するような国家レベルの高度な攻撃は、新たな標的を侵害するために、macOSシステムに焦点を広げ始めています。このように、ランサムウェアの脅威は多様化し、ますます巧妙化しています。企業がこれらの高度な脅威に対処するには、最新のセキュリティ対策が不可欠です。

今回のMITRE評価では、侵害後の保護「マイクロエミュレーション」と攻撃者のTTPの適用範囲拡大の両方が導入され、今日の攻撃者がいかに階層化され、執拗であるかが強調されました。ベンダーは検知だけでなく、攻撃者が足場を築いた後の悪意ある行動に対する防御力についてもテストされました。

重要なポイント – 評価では、真に強力な防御とは、孤立したマルウェアを見つけるだけではなく、関連するすべての悪意あるアクティビティを相関させて、侵入から影響まで、攻撃の完全な状況をセキュリティチームに提供することであると強調されています。

MalOp™の特長 – アラート中心のセキュリティを超える

セキュリティオペレーションセンター(SOC)のスタッフは、アラート疲れに悩まされています。侵入検知/防止システム(IDS/IPS)、SIEM、ファイアウォール、ウイルス対策などの従来のツールは、それぞれ悪意あるアクティビティを識別することができます。しかし、統一した視点が欠けています。

  • 断片化されたアラート – 毎日何万ものアラートがアナリストに届きますが、相関関係がないことがほとんどです。これは、MITRE 2024 Enterprise Evaluationsで多くのベンダーで実証されました。
  • 時間のかかる調査 – セキュリティチームは、根本原因、影響を受けたユーザー、ログ、悪意のあるツール、およびイベントのタイムラインをまとめるために奔走します。
  • 見逃された持続的な脅威 – 攻撃者は、おとりのマルウェアや「Living off the Land(LotL:環境寄生型)」手法を使用することが多いため、悪意あるバイナリ1つに焦点を当てても、侵害全体を根絶することはできません。

このことを認識して、サイバーリーズンのMalOp™アプローチは、アラート中心のモデルからオペレーション中心のモデルに移行しています。MalOpとは、ネットワーク侵入の瞬間(多くの場合、ユーザーアカウントが侵害されてからわずか数分後)から最終目標(流出、ラテラルムーブメント、または暗号化)に到達するまで行われる攻撃の一連のアクティビティのことです。

端末間の相関エンジンとは

MalOpの中心となるのはビッグデータ分析と機械学習であり、エンドポイント、ネットワーク、ユーザーID間でテレメトリを自動的に取り込み、相関させます。この端末間の相関エンジンは次のことを実現します。

  • バラバラなデータを統合 – PowerShellスクリプト、認証情報ダンプツール、悪意のある通信、侵害されたエンドポイントなど、すべての疑わしいアクティビティが追跡され、1つの「アクティビティのストーリーライン」にまとめます。
  • 100%の可視性を確保 – 1秒あたり最大8,000万のイベントをキャプチャして分析することで攻撃者の動きを詳細に可視化します。
  • 直感的な攻撃のコンテキストを提供 – 個別アラートの羅列ではなく、防御者は根本原因、影響を受けた端末、悪意ある通信、攻撃者のツール、詳細なタイムラインのすべてを1つの画面で確認できます。

このアプローチは、MITRE 2024の評価でも重視されました。多くのソリューションがClopやLockBitの活動の一部を検知する中、サイバーリーズンのMalOpテクノロジーは、初期侵入からデータの流出や暗号化の試みに至るまで、悪意あるアクティビティ全体を凝縮しながらも完全に把握することができました。

MalOpの5つの必須要素

MalOpは、セキュリティアナリストが必要とするすべての重要な詳細情報を一目で把握できるように設計されています。テクノロジーには次のような特長があります。
1.根本原因
最初に疑念を抱くきっかけとなった悪意あるイベントやアクティビティ。例えば、スピアフィッシングの試み、ユーザー認証の異常、LockBit関連会社が使用するドメイン生成アルゴリズム(DGA)など。

2.影響を受けるユーザーと端末
攻撃者が1つのエンドポイントにとどまることはめったにないため、MalOpテクノロジーは、どの端末やユーザーアカウントが脅威にさらされているか、あるいは軸として使われているかを正確に示す。

3.受信と送信の通信
疑わしい接続、コマンド&コントロール(C2)ビーコン、および受信と送信の両方の流出試行を含む、関連するすべてのネットワークトラフィックを強調表示します。

4.攻撃者の使用ツール
認証されている侵入テストフレームワーク(Metasploit、Cobalt Strike)、「Living Off the Land」バイナリ(regsvr32.exeなど)、または既製のリモートアクセスツール(AnyDesk、TeamViewer)であっても、MalOpテクノロジーはすべてをキャプチャします。

5.攻撃のタイムライン
オペレーション全体をタイムラインで視覚的に再現することで、アナリストはログを手動で相互参照する膨大な時間を節約できます。MalOpタイムラインにより、攻撃者がいつ、どのように権限を昇格し、ラテラルムーブメントして、暗号化やデータの流出を試みたかが正確にわかります。

MITRE 2024のパフォーマンス – オペレーション全体を把握

第6ラウンドの評価では、サイバーリーズンのオペレーション中心のモデルが、Clopの「steal-and-encrypt(盗んで暗号化する)」アプローチやLockBitの特殊なLiving-Off-The-Land手法など、実際の行動をMITRE ATT&CKフレームワークにマッピングすることに優れていました。主なものは次のとおりです。

  • WindowsおよびLinuxへの攻撃の手口を正確に検知 – サイバーリーズンのアプローチは、攻撃者がWindowsエンドポイントを標的にしているか、Linuxシステムにしているかにかかわらず、チェーン全体を単一のMalOpに相関させます。
  • macOSの脅威をカバー – 攻撃者がmacOSを標的とするケースが増えていますが、同じMalOpテクノロジーがこれらのシステム間でイベントを相関させ、攻撃者があまり標的としていないオペレーティングシステムを悪用しようとした場合でも、全体的な視点を提供します。
  • ランサムウェア対策のためのマイクロエミュレーション – MITREは、ベンダーが悪意ある侵害後の短時間の動作からどのように保護するかについてもテストしました。サイバーリーズンの高度な検知機能と自動応答機能により、プロセスを迅速に隔離または強制終了し、影響範囲を制限することができました。

SOCの最適化 – 優先度の高いものへフォーカスし、アラート疲れを解消

SOCアナリストにとって、オペレーション中心のアプローチがもたらす日々のメリットは計り知れません。

  • アラートノイズの削減 – 疑わしい権限、新しいレジストリキー、潜在的な悪意ある通信など、何千もの個別のイベントに埋もれるのではなく、MalOpは1つの統合されたシナリオを浮かび上がらせます。
  • 調査の迅速化 – 根本原因、影響を受けたエンドポイント、攻撃ツール、タイムラインなど、すべての詳細をすぐに把握できます。これにより、複数のツールにまたがる時間を大幅に削減できます。
  • ワンクリック修復 – 組み込みのリモート修復機能により、MalOp画面から直接、ホストの隔離、プロセスの強制終了、ドメインのブロックが可能です。余分なコンテキストの切り替えや混乱はありません。
  • 持続的脅威を見逃すリスクの低減 – 攻撃者は多くの場合、ステルス、誤誘導、複数の足がかりを利用します。MalOpのアプローチは、すべての敵対的な行動(おとりも含む)を1つのビューに関連付け、徹底的なクリーンアップを実現します。
  • SOCの士気と定着率の向上 – 反復的な相関タスクを自動化し、実用的なインサイトを明らかにすることで、アナリストは、終わりのないアラートのモグラ叩きゲームをするのではなく、実際の脅威の探索と戦略的な改善に集中できます。

将来への備え – 今後の展望

ランサムウェアや高度な持続的脅威(APT)グループが進化しても、サイバーリーズンのMalOp™テクノロジーは次のような機能により俊敏性を維持します。

  • 完全なデータ収集 – 制限はありません。すべてのプロセス、レジストリキー、ネットワークリクエスト、またはユーザーアクションを分析できます。
  • 動作の指標(IoB) – 静的な侵害の指標(IOC)だけに頼るのではなく、サイバーリーズンの高度な分析により疑わしい動作パターンを検知します。
  • 自動応答 – 迅速な封じ込めと隔離により、午前3時に重大度の高い脅威が発生した場合でも、プラットフォームが対処できるようになります。
  • クラウドとオンプレミスの両方をカバー – 組織がハイブリッド環境を採用すると、クロスマシン相関エンジンはオンプレミスとクラウドの両方の資産を継続的に監視できるようになります。
  • 継続的なイノベーション – プラットフォームは脅威の状況に合わせて進化します。つまり、防御側はMalOpアプローチを利用して、将来の最新の戦術に対しても効果を発揮し続けることができます。

結論 – エンドポイントからあらゆる場所へのサイバー攻撃を阻止

MITRE 2024の評価では、複数のオペレーティングシステムにまたがり、高度な永続化メカニズムを採用し、LockBitのようなRansomware-as-a-Service(RaaS)モデルを活用するなど、今日の脅威がいかに複雑であるかが強調されています。このリスクの高い環境において、サイバーリーズンのMalOp™は次のような機能を提供することで際立っています。

  • 悪意のある操作全体の完全なコンテキストビュー
  • エンドポイントとネットワーク間の自動相関
  • 誤検出を最小限に抑えた正確な検知
  • 平均応答時間(MTTR)を短縮する合理化された応答

つまり、MalOpテクノロジーは世界中のSOCアナリストの日常生活に革命をもたらし、最も執拗な攻撃にさえ打ち勝つために必要な状況認識と迅速な修復をアナリストに提供します。アラート中心の考え方からオペレーション中心の考え方に移行することで、組織は部分的な手がかりを追いかけるのをやめ、エンドポイントから企業全体まで、あらゆる場所でサイバー攻撃を決定的に終わらせることができるようになります。

オペレーション中心のアプローチとは〜振る舞いの痕跡(IOB)を活用して早期検知と予測的対応を実現する〜

今日のセキュリティモデルでは、関連性のないアラートが無限に生成されます。その大半は誤検知であるか、より大きな攻撃シーケンスの一部に過ぎません。

このホワイトペーパーでは、早期検知のためのIOC(Indicators of Compromise)の価値の低下、IOCを表現するための拡張可能な共通言語の確立によるIOCの定義と運用、SolarWindsの攻撃に基づくIOB(Indicators of Behavior)の活用に関するケーススタディなどについて深く掘り下げて解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/9109/