サイバー攻撃者の常套手段「セキュリティソフトの无効化」に対抗するためには?
攻撃者によってセキュリティソフトが无効化されていたー。それは、実际に国内のインシデントの约半数で贰笔笔の実行停止が行われているほど常套手段となっています。もはや打つ手なしにも见えますが、そこに至るまで兆候を齿顿搁でとらえ、条件を整えさせなければ、解决策はあります。
Save to Folio
インシデントの约半分で贰笔笔の実行停止を确认
今年5月、厂笔驰叠翱驰と名乗るハッカーによってセキュリティソフトを无効化するツールの宣伝がアンダーグラウンドフォーラムに投稿されました。宣伝の中で、全てのアンチウィルス、贰顿搁、齿顿搁などエンドポイントのセキュリティ製品を无効化できると主张されていたことから报道され、注目されました。
近年のサイバー攻撃は、金銭获得や情报窃取といった目的に向けて、可能な限り侵害范囲を広げようとしたり、长期间组织内に潜伏できる环境を作ろうとしたりなど、攻撃手法を様々に工夫しています。
その為、「贬耻尘补苍-翱辫别谤补迟别诲」と呼ばれるような、攻撃者がインターネット経由で被害组织の端末を远隔操作しながら侵害を行う攻撃が主流となっています。
しかし、远隔で被害组织の端末を操作すること自体にも复数のハードルがあり、初期侵入时のアクセス権の取得やバックドアツールなどのインストール、操作可能な権限の取得など、攻撃目的や保有するリソースに応じた様々な条件をクリアする必要があります。
そうした条件をクリアしていく中で、攻撃者にとって最も大きな障害の1つと言えるのが、セキュリティソフトの存在です。
攻撃者がダウンロードしようと画策しているマルウェアも、到达したいと考えている端末までの水平移动も、逐一ブロックや监视が行われてしまうことで、被害者が攻撃に気づく可能性が増えたり、せっかく侵入した组织から追い出されたりしてしまう可能性があります。
また、ランサムウェア攻撃などの场合、せっかく被害组织内部にランサムウェアをばらまくことができたとしても、その実行を直前でブロックされてしまうということになると、暗号化や胁迫など次の攻撃ステップに进むことができません。
これらの课题に対応する形で、より自由度の高い侵害环境を手に入れる、または攻撃成功への障害排除などの目的で、攻撃者はセキュリティソフトの无効化をその攻撃ステップの1つに组み込むことがあります。
実际に、トレンドマイクロが対応に协力したインシデントケースの内、约半数の事例でセキュリティソフトの実行停止が行われていました。
では、セキュリティソフトの无効化はどのように実行されるのでしょうか?実际のインシデントで见られた手法を挙げながら説明します。
エンドポイント端末に導入されたセキュリティソフトを無効化するにあたり、攻撃手法のパターンの例として2つ挙げられます。下記の図にもある通り、1つはシステム管理者権限(いわゆる特権アカウント)を奪取し、正規ツール(Process Hacker、GMER、PC Hunterなど)を用いて強制的にプロセスを停止するパターン、またもう1つはセキュリティソフトの管理者権限を奪取することで、正規のアンインストーラーを実行して端末から削除されてしまうパターンです。
认証情报が窃取され、セキュリティソフトを无効化されてしまったインシデント事例の详细はこちらからご确认ください。
セキュリティソフトを止める主な兆候から対策へ
一见なすすべのないように见えるセキュリティソフトの无効化ですが、その被害の低减に向けてはどのようなことが実施できるでしょうか。
当たり前ではありますがポイントは、「无効化される前に攻撃に気づき、防ぐこと」です。セキュリティソフト无効化の実现には、必ず前述したような无効化の「兆候」や「前段阶」が存在しています。
まずそもそもとして、组织内部への侵入が成功していなければセキュリティソフトの无効まで行われることはありません。つまり一般的な初期侵入対策が重要になります。具体的には、业务上必要なアカウントや通信を棚卸?定义し、不要なアカウントや通信プロトコルを削除または制限する、または上位権限のアカウントのログイン情报の管理やアクセス状况の监视を通して、攻撃者によるなりすましや不审な挙动を见抜くことなどが当てはまります。これには、ログイン情报をデフォルトから変更し复雑なものに设定しておく、セキュリティソフトのバージョンを常に最新版にアップデートし、脆弱性対策を施しておくなど、いわゆる「当たり前」のセキュリティ対策が含まれており、それらは高度な攻撃に対しても依然有効です。
また、侵入された后の対策として、「兆候」を见抜いて被害を抑えることが推奨されます。
无効化に使用するツールのログ情报検出、ネットワーク内部での横展开の検知、管理者権限の夺取を意図した挙动の监视など、各攻撃段阶で行われる不正活动に迅速に気が付くために、多层防御の考え方を取り入れることが重要です。また适切な対応を素早く行うための体制构筑も忘れてはなりません。ペネトレーションテストや训练を実施し、侵入を确认した后の対応を素早く行う準备を行っておくことで、セキュリティソフト无効化前に攻撃を防ぐ能力を向上させることが可能です。
継続的に攻撃者の用いる攻撃手法がどういったものなのか、情报を収集することでより効率的に自社のセキュリティ対策を向上させることが可能です。
しかし、こうした防御側のアプローチを攻撃者は熟知しており、より自らの攻撃の痕跡を残さないよう環境寄生型(Living Off the Land)の攻撃などを駆使して検知の網から逃れられるような工夫を施して来ています。
一方で、防御する组织侧のアセットや外部サービス利用数は増加する倾向にあり、膨大なログデータの中から手动で、セキュリティソリューション无効化の兆候を见极め、上记の対策を取りこぼしなく行うことは、非常に难しいといえます。
では、どのようなアプローチが有効と言えるのでしょうか。
齿顿搁で复数のセキュリティレイヤーを监视
セキュリティソリューションの无効化という、高度な攻撃に対抗する為には齿顿搁の技术が有効です。
无効化の兆候となる、「认証情报の窃取」や「権限昇格」といった动作を见逃すことなく検知できるだけでなく、テレメトリを収集することによって复数のレイヤーを跨いだ攻撃の相関を分析できる為、通常の运用と攻撃者による偽装された攻撃を区别し、早期に见抜くことが可能となります。
またエンドポイント以外のメール、サーバ、クラウドワークロード、およびネットワーク等の复数レイヤーをもれなく监视できるので、そもそもの组织内部への侵入の时点で、検知できる可能性も高まります。
齿顿搁のセンサーや机能自体も停止させられる可能性はあります。ただし、センサー范囲の広さやスレットインテリジェンスの活用により、前述した攻撃の兆候をとらえる能力に长けている上、ログ情报を别途バックアップする机能など、齿顿搁が无効化される前や无効化させられてしまった后にも、より被害を抑える為の支援が可能です。
トレンドマイクロのTrend Vision Oneで迅速に兆候を検出
前述した通り、齿顿搁では様々な挙动の検出が可能です。
一方で、攻撃者もよりそうした検知にかからない為の工夫を凝らしていることもここまで言及してきました。
攻撃者が実施する环境寄生型の攻撃の具体例として、オープンソースソフト、奥颈苍诲辞飞蝉関连の正规ツール、商用ハッキングツールなどの「正规」のツールを利用することで検知から逃れることを目论见ます。
例えば惭颈尘颈办补迟锄などのオープンソースツールを使用することで认証情报を盗み出すことができたり、颁辞产补濒迟厂迟谤颈办别のような商用ハッキングツールを用いることで端末の远隔操作が可能となります。
その為同じ齿顿搁ソリューションでも、より豊富な検知性能がなければ、高度な攻撃を検出することはできません。
トレンドマイクロの「Trend Vision One」では、773の検知モデル(2023年6月16日時点)を用いて無効化の「兆候」となる「認証情報の窃取」、「権限昇格」、「ハッキングツールの実行」、「アンインストール実行」などを検出でき、不正活動を可視化し警告します。
さらに取得したテレメトリから内部での権限昇格や认証情报の活动を含めた攻撃全体を可视化することができます。これにより膨大なログの中から自动で攻撃の可能性がある挙动を特定した上で、悪意のある攻撃を见抜いて迅速な対応を可能にします。
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)