siem
真面目な攻撃者があなたの会社を標的に選んだ場合、彼らはあなたの会社のインフラで長い期間気づかれないまま居座り続けようとしていることは間違いありません。一部の攻撃者は、高性能なマルウェアを活用してこの目的を達成しようとしますが、別の手段を選ぶ攻撃者もいます。実際には、脆弱性、窃取した認証情報、既にシステムに存在する正規のプログラムを悪用して企業を攻撃することを好む攻撃者も多いのです。この手法は「環境寄生型(Living off the Land:LotL)攻撃」として知られており、攻撃者の観点から見ると多くの利点があります。
- 悪意のある活動が、日常のネットワーク活動や管理的な活動に紛れ込みます。
- コンピューターに既にインストールされているツールの場合、エンドポイント保護(EPP)がその不審な動作を検知、阻止する可能性が低くなります。
- 悪意のあるツールを独自に開発する時間、およびリソースが不要となります。
- このような活動では明白な侵害インジケーター(IoC)が生成されないため、悪意のある活動の追跡や組織間での攻撃の比較が困難になります。
- 多くの企業では、ネットワーク監視や日々のネットワーク活動に関する情報を十分に詳細に収集、保存していません。そのため、攻撃の進展をリアルタイムで追跡することができず、ましてや履歴を確認して追跡することもできません。このため、攻撃の防止やその影響の軽減が非常に困難になります。
LotL手法は、スパイ集団(こちらとこちらを参照)、金銭目的のサイバー犯罪者、ランサムウェア犯罪者など、さまざまな集団が使用しています。
LotL攻撃を受けやすい環境
LotL攻撃は、クラウド、オンプレミス、ハイブリッド、Windows、Linux、macOSプラットフォームなど、あらゆる環境で実行される可能性があります。ちなみに、macOSへの攻撃は「Living off the Orchard 」と呼ばれることもあります。Orchardは、日本語で「果樹園」の意味なので、ご想像の通り「Apple(リンゴ)」にちなんだ呼称です。こうした各環境において、攻撃者はさまざまなツールやテクニックを自由に使うことができます。
- Windows:攻撃者にとって有用なツールは通常、LOLBins(LOLバイナリ)またはLOLBAS(LOLバイナリとスクリプト)と呼ばれています。当社は、最もよく使用されているLOLBinsを分析しました。攻撃で確認されているすべてのWindowsツールのより詳細なリストは、このGitHubリポジトリにあります。権限を昇格させ、防御を無効にするために、脅威アクターは正規のソフトウェアドライバーを悪用する場合があります。そのドライバーのリストは、ioで入手可能です。
- Unix/Linux:攻撃者が悪用したツールの詳細なリストは、GitHubのgtfobinsリポジトリで確認できます。
- macOS:攻撃に使用される「Orchard」ツールは、ioで入手できます。
ここで繰り返しますが、上記のリンクにリストされているファイルはすべて正規のツールです。これらのツール自体に脆弱性がなくても、システムに侵入して十分な権限を取得した攻撃者によって使用される可能性があります。
LotLの検知を阻害している要因
たとえ組織が高いレベルの情報セキュリティ成熟度(専門チームや高度な保護ツール)を有していたとしても、次のような理由により、防御する側が検知できないケースが実際にあります。
- 設定が環境に適していない:高度なセキュリティツールであっても、その組織特有の環境や、ネットワークのセグメンテーション、ユーザーとサーバーの対話、典型的なITシステムの運用シナリオなどに合わせて調整する必要があります。相関ルールも、その企業で利用可能な脅威インテリジェンスや既知の特性に基づいて作成しカスタマイズする必要があります。防御側がIoC検知に過度に依存し、危険な可能性がある挙動の兆候に十分に注意を払わない場合もあります。情報セキュリティ担当者やITサービス担当者が、単に正当なアプリケーションであるというだけの理由で多数のLOLBASを登録した結果、適用範囲が過度に広くなった除外ルールや許可リストを使用している場合もあります。上記で述べたことはすべて、保護の実効性を大幅に低下させます。
- ログ記録が十分ではない:多くのシステムの標準レベルのログ記録では、悪意のある活動の検知、インシデント分析に十分なイベントパラメータの保存、または正当な管理動作と悪意のある動作との確実な区別ができません。
- 自動化が十分ではない:フィルタリングおよびバックグラウンドノイズの除去を事前に行っておいた場合にのみ、膨大なログの中から悪意のある動作を検知することができるようになります。最も効果的なフィルタリングは、EDRからのテレメトリです。関連するテレメトリを収集し、攻撃者のテクニックを検知する柔軟性を高め、誤検知を減らします。フィルタリングと自動分析がなければ、ログは役に立ちません。それらがない状態では、数がとにかく多すぎるのです。
- IT担当者との連携不足:上記の問題は、IT担当者と情報セキュリティサービス担当者の対話がほとんどない場合に特に深刻になります:情報セキュリティ担当者が、IT担当者の業務規則やツールの設定などをよく知らない状態になるからです。さらに、両チームが互いに話をしなければ、不審な活動の調査が数週間から数か月も長引く可能性があります。こうした遅れはすべて、脅威アクターによる攻撃をさらに進展させる結果になるでしょう。
LotL攻撃を検知する方法
LotL攻撃を検知するための実用的な推奨事項は多数ありますが、そのどれもが、これさえあればすべて対処できるといった性質のものではありません。最新かつ詳細な公開ガイダンスは、米国、英国、オーストラリアのサイバー機関から提供されています。しかし、そこでも執筆者たちは、ベストプラクティスのベンチマークを提供しているに過ぎないということを強調しています。
最も実用的で効果的、かつ実装可能な検知のヒントは以下の通りです。
- イベントの詳細なログ記録を実装する:一度だけ書き込み可能で変更ができない、一元管理されたリポジトリにログを収集します。これにより、攻撃者によるログの削除や変更を防止します。ふるまい分析、遡及的な検索、標的を絞った脅威ハンティングが可能になるため、ログの一元管理は重要です。また多くの場合、ログをより長期間保存することも可能になります。
有効活用できるログは、網羅的で詳細である必要があります。管理コンソール(シェル)のすべてのコマンド、システムコール、PowerShellのアクティビティ、WMIイベントトレースなどのセキュリティイベントを、ログに記録する必要があります。繰り返しになりますが、標準的なログ記録設定では、必要なすべてのイベントを網羅することはほとんどないということに注意してください。もう一点知っておいた方がよいことがあります。一部のクラウド環境では、適切なレベルのログ記録は高額なサービスパッケージの一部としてのみ使用可能です。昨年、Microsoft 365の顧客が被害に遭ったため、Microsoftはポリシーを改訂しました。
ログ記録の適切な実装には、SIEM(一元化、集約、イベント分析)とEDR(ホストからの必要なテレメトリの収集)は不可欠なツールです。
- ネットワークデバイス、サーバー、アプリケーション、ユーザー、管理者の典型的な日常の活動を識別し、記録する:特定のネットワークにおける基本的な動作に関する情報の収集に推奨されるのは、SIEMです:これにより、イベントの通常の順序、サービスの関係などがすべて明確になります。「管理的な」動作の分析や、特権アカウント(システムアカウントを含む)による特定のツールの使用には、特別な注意を払う必要があります。管理ツールの数は最小限にとどめ、その操作の詳細をログに記録するようにします。他の類似ツールの使用はブロックするか、アラートが発生するように設定しておくべきです。管理者アカウントについては、使用する時間や実行されるコマンドとその順序、対話するデバイスなどを分析することが重要です。
- 自動化システム(機械学習モデルなど)を使用してログを継続的に分析し、典型的な活動と照合して異常を情報セキュリティ担当者に報告する:ユーザーおよびエンティティのふるまい分析(UEBA)が実装されていれば理想的です。
- 設定を継続的に更新してバックグラウンドノイズを減らし、影響の小さなアラートを調整して優先度を下げる:
監視ルールとアラート発生条件を微調整して、日常的な管理動作と危険な可能性がある動作をより適切に区別できます。適用範囲が過度に広いルールは、システムとアナリストの両方に負担がかかるので作成しないようにします。たとえば、「CommandLine=*」のようなルールです。ITチームと協力して、使用する管理ユーティリティの種類、無関係なシステムへのアクセス、企業システムへのログインに使用可能なプロトコルとアカウントの種類の数を減らしてください。
LotLから組織を守る方法
こうした攻撃の性質上、完全に防ぐことはほぼ不可能です。ただし、ネットワーク、エンドポイント、アプリケーション、アカウントを適切に設定すれば、攻撃対象領域の大幅な縮小、検知の高速化、侵入行為による被害の最小化が可能です。
- 使用するハードウェアやアプリケーションのベンダーが推奨する「堅牢化」を検討し、実施します。最低限、次の点を考慮する必要があります:
- Windowsシステムの場合、Microsoftの更新プログラムをすぐに適用するようにします。
- Linuxシステムの場合、Red Hat Enterprise Linuxベンチマークなどの業界ガイドに従って、主要なアプリケーションとデーモンの権限を確認します。
- macOSデバイスの場合、堅牢化の一般的な推奨事項はありませんが、開封後に何も設定しない状態でもセキュリティが保証されるというのは誤解であることに注意してください。異なるOSが混在するネットワークでは、往々にしてWindowsデバイスの方がより多く使用されています。そのためIT担当者や情報セキュリティ担当者はWindowsにばかり注意を払い、Appleデバイスの脅威や不審なイベントを見過ごしてしまいがちです。macOSを定期的に最新バージョンにアップデートし、EDR/EPPを実装するというアドバイスに加え、macOSセキュリティコンプライアンスプロジェクトを調べておくことも推奨します。このプロジェクトでは、特定のmacOSデバイスに対する情報セキュリティ推奨事項を作成することができます。
- Microsoft 365およびGoogle Workspaceクラウドサービスを積極的に使用する組織では、MicrosoftとGoogleが推奨する最低限の情報セキュリティを実装することが不可欠です。
- MicrosoftベースのITシステム用のADFSやADCSなどの重要なIT資産には、特別な注意を払い、堅牢化のために可能な対策を詳細に分析することが必要です。
- 実行中のサービスの数の最小化、最小権限の原則、すべてのネットワーク通信の暗号化と認証などの普遍的な堅牢化対策を、幅広く適用します。
- 許可リスト(「Default Deny」と呼ぶこともあります)アプローチを標準化します。すべてのアプリケーションとコンピューターへの導入が困難な場合は、段階的なアプローチを試してみてください。よく使用されているLOLBASが自分のチームでは使用されておらず、システムプロセスにも必要なければ、ブロックすることができます。実際に必要なツールは、管理者のみが、関連するシステム上でのみ、管理タスクの実行中にのみ使用できるようにする必要があります。このようなツールを使用するすべてのセッションを注意深くログに記録し、異常がないか分析する必要があります。
各ホストに適用されている設定とポリシー、インストールされているソフトウェアの詳細なインベントリを作成し、管理します。ホスト上でアプリケーションが必要ない場合は削除します。これにより、攻撃者のツールキットからそのアプリケーションが削除され、アップデートや脆弱性に関連する問題が解消されます。EDRソリューションは、こうした作業に最適です。
- 内部ネットワークレベルでITとOTのネットワークのセグメンテーションと監視を強化します。OTネットワークを分離するだけでなく、高い権限を持つ管理マシンや重要なサーバーなどを別のサブネットに移動することもできます。
このような制限を実施する時、多くの組織では、たとえば特定のクラウドプロバイダーのすべてのアドレスなど、過度に広いIP範囲を許可リストに登録しています。会社のサーバーが通信する必要のある正当なサーバーをこのクラウドがホストしていたとしても、その近隣のIPは攻撃者によってリースされる可能性があります。したがって、IP範囲を正確に指定し、許可リストをできるだけ短くすることが不可欠です。
ネットワーク分析ツールを使用して、通常とは異なるセッションや、より重要なネットワークセグメントとの通信を中心に、セグメント間のトラフィックを監視することも必要です。このような分析には、ディープパケットインスペクション(DPI)が必要です。
監視を大幅に簡素化し、攻撃を一層困難にするには、組織内に特権アクセスワークステーション(PAW)を導入します。リスクの高い管理的な動作はこれらのワークステーションでのみ許可し、それ以外の場所では許可しないようにします。Windows環境の最小限のプログラムの一部として、Active Directoryサーバーの操作はPAWでのみ許可する必要があります。
- ネットワークの場所に関係なく、人間と機器、および機器同士の対話のすべてに認証と承認のプロセスを実装します。
- 検知とレスポンスのツール(SIEMとEDR)に基づくインフラ保護の総合的なアプローチを導入し、セキュリティ意識の向上とチームの専門知識の底上げ([threat intelligence placeholder]脅威インテリジェンス[/placeholder]とサイバーセキュリティトレーニング)をはかり、会社全体の情報セキュリティ体制を継続的に強化します。
ヒント