トレンドマイクロが実践するサイバー攻撃演習（後編）～流行中のランサムウェアを模したリアルな演習、見えてきたXDRの効果とは

ツールによる単纯なスキャンではなく、本物の攻撃者さながらの手法を用いて组织のシステムへの侵害を试み、技术や人、プロセスのどこにセキュリティの弱点があるかを洗い出す目的で行われるのが「レッドチーム演习」です。トレンドマイクロでは、この演习に自社製品やソリューションの有効性を确认し、セキュリティ品质を高める取り组みを加え、组织、自社製品両面でのセキュリティ强化を推进しています。

前编では、レッドチーム演习により明らかになった有効な対策や技术、そして课题についてご绍介しました。后编では、具体的な演习を例に防御や运用のコツをご绍介します。セキュリティに携わる皆さまの取り组みの参考になれば幸いです。

関连记事：
トレンドマイクロが実践するサイバー攻撃演习（前编）～サイバー攻撃者视点で彻底的にあぶりだす、组织のペインポイント

今回のご紹介するのは、実際にさまざまな組織?企業に被害を与えているHuman Operated Ransomware（人手によるランサムウェア攻撃）^※を模したある回の演习です。この演習では、XDR（Extended Detection and Response）ソリューションの有効性を確認し、XDRの運用を支援する「Managed XDR」をよりよいサービスにしていくための貴重なノウハウも得ることができました。

※标的型ランサムウェア攻撃とも呼ばれます。従来の広く无差别に攻撃を行うランサムウェアに対し、法人组织を狙った攻撃で、2018年～2019年から确认されています。その手口は、组织のネットワークへひそかに侵入し、侵害范囲を広げ、最终的に组织の端末やサーバをランサムウェアに感染させます。

齿顿搁が実现する迅速な判断とインシデント対応

トレンドマイクロのレッドチーム演習では、最新の脅威動向を日々追いかけ、解析に当たっている社内の専門家で組織されるレッドチームが、サイバー攻撃者として、現実味あふれるシナリオで攻撃を仕掛けます。一方、防御側のブルーチームは、いわゆる「情シス」の業務に携わるサイバーディフェンス＆インフラストラクチャーサービス課を中心に、普段はサイバーセキュリティ技術の開発や、高度な脅威の検出、調査、および対応を実施するマネージドサービス「Managed XDR」を提供するリサーチメンバーからなる構成です（図）。

本记事では、レッドチームとブルーチームによる攻防を中心にご绍介します

トレンドマイクロが実施した今回のレッドチーム演習は、水飲み場攻撃とHuman Operated Ransomware を組み合わせたシナリオに沿って行われました。レッドチーム側は、Chromeの脆弱性を突いて初期侵入に成功し、その後、トレンドマイクロ製品の既知の脆弱性を悪用し^※、検知除外と権限昇格を行いました。続いて、実际の攻撃でも使われるツール「惭颈尘颈办补迟锄」にカスタマイズを加えたものを用いて认証情报を窃取し、二台目に横展开を図りました。

※本脆弱性は、外部から直接悪用される脆弱性ではなかったため、修正プログラムを适用するまでに数日のタイムラグがありました。演习では、レッドチームが修正プログラムを适用するまでのこのタイムラグを狙い攻撃を行いました。トレンドマイクロでは、脆弱性を含めたセキュリティリスクをできる限り最小化できるよう製品开発のプロセスを强化するなどの取り组みをかねてから推进しています。取り组みについては、本连载の前编をあわせてご覧ください。

しかし、最终目的であるランサムウェアの実行に至る前に、ブルーチームに动きを検知され、端末が隔离されたためシナリオ完遂とはなりませんでした。

この訓練の中で有効に働いたのが、トレンドマイクロが提供するXDR機能を搭載したセキュリティ運用支援のためのエンタープライズサイバーセキュリティプラットフォーム「Trend Vision One（以下、Vision One）」でした。

トレンドマイクロでは従業員が使用する全端末にエンドポイントセキュリティlive casino online Apex One（以下、Apex One）を、ネットワークセキュリティにはDeep Discovery Inspectorを導入し、Vison Oneと当社が顧客に提供しているマネージドサービス「Managed XDR」と同様のマネージドサービスを組み合わせて運用してきました。

「セキュリティ公司という性质上、当社では専门チームがセキュリティ製品の动作検証を行っています。製品の検証用ファイル（マルウェアとは异なり実害はない）を検証环境以外で実行することは禁止していますが、误って本番环境上で开いてしまった検証用検体が検知されることもありました。その际には、端末を利用している従业员に业务と関わりがある作业かどうかをヒアリングし、注意唤起を行ってきました」（インフォメーションサービス本部インフォメーションテクノロジー部サイバーディフェンス＆インフラストラクチャーサービス课シニアエンジニア、梅川博辉）

もちろん検証用ファイル自体は、Apex Oneで検知し隔離するよう設定し、実行できない仕組みをとっていますが、各セキュリティレイヤーからのログを統合的に分析しVison Oneが出すアラートをもとに、マネージドサービスと連携して調査、対処する体制をとることで、セキュリティをより確実なものにしているのです。こうした日頃の運用がレッドチーム演習でも効果を発揮します。Trend Vision OneのXDR機能が二台目の端末でハッキングツールが利用された可能性を検知し、ブルーチームにアラートを発出したのです。

レッドチームによると、最近はハッキングと言っても、単体のマルウェアのみを用いるケースは減っています。代わりに、Windows OSに搭載された正規機能を利用する攻撃が増えており、単純なシグネチャでは検知がますます困難になってきました。このような背景こそが、脅威がユーザ環境に万が一侵入した際に、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能であるXDRが注目を集めている理由です。

XDRは、組織内のさまざまなレイヤーのセキュリティデータを収集?分析し、攻撃の全体像、つまり組織のITインフラ全体で何が起こっているかを可視化することで、調査から対処までの一連の対応を可能にします。攻撃の全体像を捉え、確度／精度の高いアラートに絞り込んで提供するため、個々のセキュリティツールから大量に発生するアラート過負荷の運用課題を解決するソリューションとしても導入が広がっています。しかし、それでも、XDRを導入した後には、アラートの運用には知見や工夫が必要になります。「OSの機能が悪用された恐れがある」というアラートを受けて慌てて調べてみると、実は情報システム部門の担当者がトラブルシューティングを行っていただけというケースも少なくありません。この一次調査が現場の運用担当者にとって負担となっているのですが、今回の演習ではVision Oneを活用することでその部分を簡素化できました。

「Vision Oneのプロセスチェーンの画面を確認していくと、通常のユーザによる実行ではなく、不審なプロセスを経由して利用されていることが即座に判明し、通常のオペレーションとは異なるとすぐ判断しました」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部マネージドサービスチームセキュリティアナリスト、大沼和也）

一次调査の结果を踏まえてマネージドサービスチームは、サイバーディフェンス＆インフラストラクチャーサービス课にすぐにエスカレーションしました。同课の梅川らから当该端末を利用する従业员にヒアリングを行うのと并行して、マネージドサービスチーム侧もさらに掘り下げて调査を进め、原因や影响范囲の特定に取りかかっていきました。

セキュリティインシデント対応においては时间が非常に重要です。速やかに対処できれば、それだけ被害を食い止められますが、その意味であらためて齿顿搁の有効性を确认したと梅川は振り返っています。

「製品単体で見ているだけでは、各製品から上げられる大量のログの中から関連するものを探しだしていかなければなりません。さらに関連付けて分析を行うには、ネットワーク機器のログやWebサーバのログなどを一つずつ確認しなければならず、手間がかかります。Vision Oneでは、『どこからどこへ何を実行した』『どこからどこへファイルを置きにいった』といった事柄がすぐにわかるため、スレットハンティングに要する時間を大幅に短縮でき、スピード感を持ってインシデントに対応できました」（梅川）

「Managed XDR」を提供するマネージドサービスチーム側も同感でした。「端末のテレメトリデータを取れるのはもちろん、複数の製品のログを組み合わせたものをアラートとして検出できます。このため、インシデントを発見できるポイントが非常に多いと運用していて感じます」（大沼）。特に、プロセスチェーンビューを活用することで、過検知?誤検知の排除が容易と感じているそうです。

今回のシナリオでは、最初の一台目の初期侵入では重大なアラートが上がりませんでした。「攻撃者は、たいていエンドポイントプロテクション製品（贰笔笔）の検知をバイパスできることを确认してから攻撃を仕掛けてくるため、二台目以降でしかアラートが上がらないのはある意味予想通りでした」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部スレットリサーチチームシニアスレットリサーチャ―、原弘明）

Vision Oneが真価を発揮したのはここからです。仮に初期侵入がすり抜けたとしてもその先で検知し、アラートを出していきます。「黒とも白とも判別できない挙動に対し、どのようなコンテキストで実行されているのか、どのようなフローで実行されたのかを正しく把握することにより、アナリストが適切に判断を下せるようになるでしょう」（原）

さらに「インシデントを発见するだけでなく、レスポンスの机能も充実しており、プロセスのハッシュ値や感染のきっかけとなった鲍搁尝、通信先の滨笔アドレスといった滨辞颁情报をすぐに取り込むことができます。一度反映させれば一安心です」（大沼）

演习を通してさらに强化される検知ロジックとサービス

トレンドマイクロはレッドチーム演习を齿顿搁の强化?改良にも活用しています。「レッドチーム演习に限らず、普段から当たり前のように行っていることですが、攻撃を意図した通りに齿顿搁で検出できないことがあれば、製品自体、検出ロジック自体を日常的に改善しています」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部インシデントレスポンスチームシニアインシデントレスポンスコンサルタント、叁好太郎）

演习を通した机能强化は、まさにレッドチーム侧の狙い通りと言えるでしょう。业务を通して蓄积してきたインテリジェンスを元に、最新の攻撃手法やトレンドを取り込んだ攻撃を仕掛けることにより、「ブルーチーム侧で検知ロジックの改善をはじめとするエンハンス活动に反映することを意识して実施しています」（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部インシデントレスポンスチームシニアスレットリサーチャ―、中谷吉宏）

実際、Vision Oneの機能自体も、パッケージ製品のイメージとはほど遠い頻度でアップデートされ続けています。たとえば、このレッドチーム演習が行われた当時はプレビュー段階だったフォレンジック機能も、日を置かずして正式に搭載されるといった具合です。

「Trend Vision Oneのプロセスチェーンビューだけでも、『最初の侵害がどのように起こり、その後どう横展開していったか』が把握できますが、フォレンジック機能で調査用データを収集し、オペレーティングシステムの深い部分に残された痕跡も調査することで、よりしっかりと状況を把握することも可能となっています」（叁好）

演習にはまた、Managed XDRと顧客をつなぐテクニカルアカウントマネージャーも参加し、コミュニケーションのあり方を確認しました。報告内容の行間を補い、摩擦が起きないようケアして、どのように円滑にインシデント対応を進めていくかという学びが得られたということです。

レッドチーム演習は、Managed XDRも含めたトレンドマイクロのセキュリティ運用プロセス全体にも磨きをかける場となりました。

トレンドマイクロでは、すでにインシデント対応のプロセスはグローバルが统括する専门部署を轴に整备されていますが、今回の演习で、日本法人内でインシデントが発生した际の一次対応における课题も见えてきました。今回のレッドチーム演习は、グローバルの统括部署への报告前に日本法人で対応する方针で进めたのですが、「どこに何を报告するか」というプロセスが确立されていないことが课题でした。

「今回の演習を通して、実際にセキュリティインシデントが起こった時にどのようにマネージドサービスチームと連携して調査を進めるか、そしてVision Oneに上がってきたアラートを元にサーバチームなどがどこをどう確認するかといった連携の確認とプロセスの確立ができました」（梅川）。加えて、情报のエスカレーションフローも整备でき、「演习を通してコミュニケーションの强化ができたと思います」（梅川）と言います。

さらにXDR/Managed XDRの検知内容を踏まえ、トレンドマイクロで四半期に一回開催される「コンプライアンス委員会」でも報告を行い、経営層とも共有するプロセスも整備されています。

この取り组みを通して、知见の共有と属人化の排除も进みました。「チームの中で情报を共有し、记録に残すことで、仮に人が入れ替わっても过去にどんなことが起こり、どのように対応していたかがわかります。知见を共通化し、情报を引き継いでいく取り组みも始まりました」（インフォメーションサービス本部インフォメーションテクノロジー部シニアマネージャー兼サイバーディフェンス＆インフラストラクチャーサービス课课长、林新树）

XDRとManaged XDRの効果を最大化するためのポイントとは

「これまで何度か実施してきた演習のたびに『振り返り会』を行って、もっとこうすればよかった、ああいう風に動くともっといいのではないか、といった意見を交換してきました」（叁好）

重点の一つがマネージドXDRをどうすれば効果的に活用できるかです。「Managed XDRには、当社のエンジニアやお客様も含めた多くのステークホルダーが関わってきます。それらがすべてかみ合ってうまく対応が回るのか、提供するサービスやアウトプットがお客様にとって理解しやすく、アクションを取りやすいものになっているかを振り返り、改善していく試みを今後も続けていきます」（叁好）

その意味で顧客側はぜひ、Managed XDRから提供されるアウトプットを生かして、アクションが取れる体制を整備してほしいと言います。

たとえば「今すぐこの端末を隔离してください」といったレポートを受け取った时に、すぐそれに沿って対応ができるか、承认?确认プロセスも含めて动けるかを确认することで、被害を最小限にとどめることができます。「サービスに入っているから大丈夫です」で安心するのではなく、サービスから得られたアウトプットを元に社内が连携して动ける训练を推奨しています。

大沼も同じ意見で、インシデント対応プロセスの最後にある暫定的?恒久的な対策、いわゆるPDCAのアクションの部分が最も重要だとアドバイスします。「Managed XDRでは、インシデントが起こった時には必ず対応策までを記したレポートを報告します。ぜひその内容を振り返ってその先のアクションにつなげ、インシデントからも学びを吸収しながら組織の改善などにつなげていただければと思います」（大沼）

レッドチームの川畑公平（セキュリティエキスパート本部アプライドサイバーセキュリティラボ部スレットリサーチチームスタッフスレットリサーチャ―）は、さらに「技術的に何が正しく、何が危険かといったことは我々が判断でき、適切な対処も提案できますが、ビジネスインパクトをどう判断するかはお客様の役割となります」と指摘し、XDRやManaged XDRが提供する情報をビジネスリスクと結びつけて判断し、迅速なレスポンスにつなげてほしいと述べています。

もう一つ呼びかけたいのが、どんどんアップデートされていく齿顿搁の机能をウォッチし、积极的に取り入れてほしいということです。

たとえばレッドチーム演习でも、前回の演习时には存在しなかったフォレンジックや振る舞い分析といった新机能を用いることで、见えていなかった胁威が见えるようになり、运用がいっそうやりやすくなるといったことが起きています。

「ぜひこういったアップデートにアンテナを張り、『こうすれば運用がより効率化できるのではないか』といった新たな気付きを得ていただければと思います。我々も含め、多くのセキュリティ企業の機能の提供方法が変化している中、最初に決めた運用方法にとらわれすぎることなく、新機能を生かしたバランスの取れたやり方を見つけていくことが大事だと思います」（叁好）

ただでさえ情報システム部の仕事は山積しています。そこにセキュリティインシデントが起こってしまうとてんやわんやとなり、傷口を広げてしまうことになりかねません。XDRのようなプラットフォームを、Managed XDRの力も借りながら活用することで、専門的な判断は外部のリソースに任せ、社内でできる事柄に専念すると言った役割分担が可能となります。

それにはやはり、「自社のシステムのどこに脆弱な部分があるか」を把握し、「ビジネスにとって何が大事で、何を絶対に守らなければいけないか」を理解しておくことが不可欠です。それにはやはり、组织トップの强いメッセージと责任所在の明确化も欠かせません。

その上で、今回のようなレッドチーム演习を通じて、人、つまり従业员のリテラシーとインシデントレスポンスに当たるセキュリティエンジニアの技术力を测り、组织间で连携を取りながら动けるかを确认することで、いざという时に力を発挥することができるでしょう。「何かが起きてから慌てても间に合いません。备えあれば忧いなしで、事前に意识して取り组んでおくことをお勧めします」（林）