サイバー攻撃の発生を確認したり、サイバー防御戦略を構築、強化したりするために、脅威インテリジェンスチームは多くの情報を活用します。その中にはIoC (侵害の痕跡)も含まれます。IoCはフォレンジックデータであり、以下を行う際に重要です。
IoCの重要性は決して軽視できませんが、効果的なサイバーセキュリティ戦略を構築するためには、それだけでは万全とは言えません。この記事では、侵害の痕跡とその種類や、脅威インテリジェンスチームにとってのその重要性について詳しく解説します。
それでは始めましょう。
侵害の痕跡とは、データ侵害、侵入、またはサイバー攻撃が発生したことを示す足跡やデータです。IoCの存在は、システム、ネットワーク、またはドメイン内に脆弱性があることを示しています。IoCの主な目的は、セキュリティイベントが発生した後で、その分析を支援することです。イベント発生後の分析は、脅威ハンティングを行う際に重要です。
著書『Identity Attack Vectors』の中で、著者のMorey Haber氏とDarran Rolls氏は、IoCによって見つけ出せるものとして以下を挙げています。
専門家は、IoCであると判断する条件として、以下の3つを挙げています。
IoCは、攻撃の実行に使用されたツールや、攻撃者やマルウェアが経由したさまざまなタッチポイント、侵入の結果などを示すことができます。
IoCの主な3つの種類について見てみましょう。
重要なのは、さまざまなタイプのIoCを検出する際の課題や検出後に取るべき対応が、攻撃者に応じて異なるという点です。IoCの種類ごとの難易度と影響度は、Pyramid of Pain (痛みのピラミッド)を使って分かりやすく示すことができます。この概念は、脅威の専門家であるDavid Bianco氏によって2013年に提唱されており、Bianco氏はこの発想の原点を次のように説明しています。
「このシンプルな図は、攻撃者のアクティビティを検出する際に使用する痕跡のタイプと、それらの痕跡に基づいて攻撃を阻止できた場合に攻撃者に与えることのできる痛み(ダメージ)の度合いとの関係を示しています」
Pyramid of Painとは、「脅威検出におけるサイバー脅威インテリジェンスの効果的な運用、特に攻撃者側の攻撃コストを増加させることに重点を置いた運用のためのフレームワーク」と考えるとよいでしょう。
IoCにはいくつかの形態があります。ここでは、サイバーセキュリティのコミュニティでよく知られている一般的なIoCを紹介します。
ネットワークの異常な送信トラフィック:サーバーから送信されるトラフィック量が極めて多い場合や、通常よりも非常に多い場合は、コマンドアンドコントロール(C2)通信の兆候である可能性があります。また、侵害された内部のシステムから外部のC2通信センターへの送信トラフィックであることも考えられます。
重要なのは、これがマルウェアの存在やデータ流出の可能性を示しているという点です。このIoCが示唆する重大な結果はデータ漏洩です。
多数のログイン試行の失敗:ユーザーログインの失敗は毎日発生しています。ただし、場合によっては、このようなログインの失敗は、偽の資格情報を使用してシステムにログインしようとしている悪意のある人物の存在を示唆しています。その目的としては、以下が考えられます。
想定外の場所からのアクティビティ:システムが通常は使用されていない地域からのネットワークアクティビティには警戒が必要です。実際のハッキングは、不明な場所や偽造または改変されたIPアドレスから試行されるのが一般的です。
計画外のソフトウェア更新:システム管理者が許可していない計画外のソフトウェア更新が実行された場合、それはシステムのセキュリティが侵害されていることを意味しています。
通常とは異なるアプリケーションを攻撃者が不正にインストールした可能性があり、排除しなかった場合、ソフトウェアの更新を通じて悪意のあるコードが実行される可能性があります。
疑わしいレジストリ変更:Windowsのレジストリには、以下のような機密情報が格納されています。
レジストリの変更が繰り返される場合、攻撃者が悪意のあるコードを実行するためにシステムを構築している可能性があります。
HTMLレスポンスサイズ:オンラインでのやり取りの際、HTMLレスポンスのサイズを確認することで、Webサーバーから送られる情報の異常を判断できます。HTMLレスポンスサイズが通常よりも大きい場合は危険信号です。これは、データが流出していたり、HTMLレスポンス内に悪意のあるコードが隠されている可能性があります。
データベースの読み取り量の増加:データベースアクセスが頻繁に発生して読み取り量が急増している場合、それは何者かがデータベースに不正にアクセスし、機密データ(財務データや顧客レコードなど)を盗み出そうとしている可能性があります。
地理的不規則性:ビジネスとは無関係な心当たりのない国のIPからのネットワークトラフィックは、悪意のあるアクティビティの痕跡である可能性があります。同様に、組織がビジネスを行っていない国への大量の送信トラフィックは、データ流出の可能性を示唆しています。
正規ユーザーの通常の場所とは異なる場所からログインが試行されている場合は、何者かがそのアカウントにアクセスしようとしている可能性があります。ログイン試行が何度も失敗している場合、それはブルートフォース攻撃の可能性があります。
通常とは異なるDNSリクエスト:悪質なドメインを含むDNSリクエストは、システムがマルウェアに感染していることを示している可能性があります。また、大量のDNSクエリーは、データの流出やコマンドアンドコントロールサーバーとの通信が発生している可能性を示唆しています。また、攻撃者は、セキュリティ対策を回避するためにDNSトンネリングを使用する可能性もあります。
脅威インテリジェンスでは、侵害がすでに発生した、もしくは現在発生しているということをセキュリティ管理者が把握できる指標が2つあります。そのうちの1つがIoCで、もう1つの指標が「攻撃の兆候」(IoA)です。
チーズを盗もうとしているネズミを捕まえようとしている状況や、強盗が侵入しようとしているドア付近の物音に耳をそばだてている状況を想像してみてください。このような挙動のデジタルバージョンがIoAです。IoAを活用することで、サイバー攻撃が発生している間にそれを阻止したり、さらにはその場でハッカーを捕まえたりすることもできます。
どちらの指標も極めて重要ですが、いくつかの大きな違いを認識しておくことでこの2つを明確に識別することができます。その違いは以下のとおりです。
IoCについて理解したところで、IoCを調査することによって得られる、組織と脅威インテリジェンスチームにとっての主なメリットを詳しく見てみましょう。
IoCは将来の攻撃を未然に防ぎます。通常、IoCの形式は変わらないため、セキュリティチームはそれを基に攻撃のデータベースを作成してその情報をツールに統合し、それ以降はシステム内の悪意のあるツールを自動的に発見してシステムから排除することができます。また、システム内で発見されたIoCを定期的に公開しているレポートやサイバーコミュニティがいくつかあり、これらを活用して同種の攻撃からの防御に役立てることができます。
実際にあった例としては、FBIのFLASHレポートに記載された、RagnarLockerという悪名高いランサムウェア攻撃グループに関連するIoCについて、アメリカのサイバー防衛機関であるCISAがアラートを発信し、このグループが企むサイバー空間への攻撃について多くの組織に警告を発したことがありました。
IoCは効果的なインシデント対応計画の作成に役立ちます。サイバー攻撃の侵入方法やその影響に精通することは、効果的なインシデント対応計画を策定するのに役立ちます。アナリストは、手探りで作業するのではなく目に見える具体的な情報を活用しながら、サイバー攻撃を予測すると同時にそれに対抗することも可能になります。
IoCは脅威ハンティングをサポートします。サイバーセキュリティにおいて、IoCは脅威インテリジェンスに分類されるため、セキュリティ監査や脅威ハンティングの出発点としては最適です。IoCによって問題に関する具体的な証拠が提示され、多くの場合、攻撃がどのように行われたかについての詳細な情報も提供されます。
IoCはサイバー空間全体の安全性を向上させます。組織が過去や現在のIoCについてナレッジを公開する場合があります。この情報を活用することで、さらに多くの組織がサイバーセキュリティを強化することができます。
また、IoCのアラートには、サイバー攻撃を防ぐための詳細な推奨事項や、サイバー危機が深刻化して他のネットワークにも拡大するのを防ぐための効果的なインシデント対応戦略が含まれるものもあります。例えば、チリの銀行規制当局に対するサイバー攻撃が発生した際には、その直後にMicrosoft Exchangeサーバーで発見されたIoCが規制当局によって共有されました。さらに、共有されたIoCの情報に基づいて、このようなIoCを迅速に検出できるようにMicrosoft MSERTツールが更新されました。
IoCを特定してそれに対応するには、以下のことを行う必要があります。
前のセクションで説明したものと類似した特徴を持つアーティファクトを見つけます。データに対して何か違和感を覚えた場合は、一旦立ち止まって調査します。サイバー攻撃に関しては、「念には念を」の原則が常に当てはまります。
ウイルス対策とマルウェア対策のツールを利用すれば、IoCとして識別された悪意のあるエージェントを検出し、システムから排除できます。ただし、高度なツールであってもゼロデイ攻撃は検出できないため、大損害につながる可能性があることに注意が必要です(ゼロデイ攻撃とは、ソフトウェア、ハードウェア、セキュリティのコミュニティにまだ知られていない新しい攻撃です)。そのため、これらのツールだけに頼っていると、重要なアクティビティを見逃してしまうでしょう。
サイバーセキュリティ関連の最新状況の把握に努めます。IoCの情報を公開している以下のような信頼できるサイトのレポートに目を通し、IoCに関するトレンドをフォローします。
また、確認したIoCの社内データベースを、監視ツールやセキュリティ情報/イベント管理(SIEM)ソリューションに統合することもできます。
Splunkは、サイバーセキュリティ、監視、オブザーバビリティ分野のリーダーです。Splunkがお客様の組織にどのように役立つかをご確認ください。
従業員が十分なトレーニングを受けていれば、IoCを特定するうえで大きな助けになります。異常なアクティビティや疑わしいアクティビティを識別して報告できるようにチームと従業員をトレーニングします。疑わしいアクティビティには、不審なメール、通常とは異なるログイン試行、ネットワークやシステムの不可解な挙動などが挙げられますが、この他にも多数あります。従業員に対しては明確なガイドラインを示し、IoCを特定して関係者に報告する際に従うべきプロセスを熟知してもらう必要があります。
IoCに基づいて特定した脅威を排除する方法を以下に簡単に説明します。
ここからは、サイバーセキュリティ戦略のベストプラクティスを紹介します。
監視と検出:SIEM、XDR、IDS、IPS、ファイアウォールなどのツールを導入して継続的に監視することで、セキュリティチームが脅威を早期に検出し、リアルタイムで対応できるようにします。
アクセス制御:最小権限の原則に基づいて、重要なシステムや機密データへのアクセスを制限します。また、アクセス制御の定期的な見直しと更新を行い、内部脅威を最小限に抑えます。
脆弱性管理とパッチ管理:システムの脆弱性を定期的に評価してセキュリティパッチを適用します。パッチの確認を自動化し、更新を最優先で行うよう関係者に周知します。
バックアップとリカバリ:データのバックアップと暗号化を定期的に実行し、データを複数の場所に保存します。復旧手順をテストし、データ侵害の発生時にデータを復元できることを確認します。
インシデント対応計画:インシデント対応計画に関して、利害関係者のスキル開発とトレーニングを実施します。定期的に演習を行い、インシデント後には計画を見直し、学んだ教訓を取り入れます。
セキュリティ意識:従業員が脅威を発見して報告できるように継続的なトレーニングを提供し、サイバーセキュリティのベストプラクティスの実践を奨励します。
IoCを探し出して攻撃の被害に対応する方法を知ることは、サイバー防御チームに多くのメリットをもたらします。しかし、昨今のWeb環境におけるサイバー犯罪の猛攻に耐えるためには、これだけでは不十分です。
IoCは絶対確実なガイドラインを提供するものではなく、あくまでも将来発生する同様の攻撃の回避方法を示すものです。IoCに関する大量のレポートのみに頼ることや、やみくもにセーフガードをシステムに統合することは、脅威の誤検出やセキュリティに関する誤った認識など、メリットよりもむしろデメリットをもたらす可能性があります。
IoCは極めて重要ではありますが、やはり最も重要なのは、セキュリティに対して多面的にアプローチすることです。脅威ハンティングにIoCやIoAのようなサイバーインテリジェンスを取り入れること、サイバーセキュリティ分野の最新レポートをフォローすること、AIと機械学習テクノロジーを活用することなど、より安全なサイバー空間を構築するためにはこれらのすべてが欠かせません。
この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。
この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。