贰顿搁を入れればセキュリティ対策は安心?セキュリティ神话がもたらす危険性
サイバー攻撃被害を受けた多くの组织の再発防止策としても导入される贰顿搁。その有効性は确かなものですが、贰顿搁さえあれば安心という考えは正确なリスク认识を妨げる可能性があります。贰顿搁を无効化する攻撃など、巧妙なサイバー攻撃と合わせて必要な対策を记载します。
Save to Folio
セキュリティは「贰顿搁」を导入すれば安心?
「セキュリティソフトを导入すれば、サイバーセキュリティ対策は万全である」という考え方は、すでに误った认识であることが多くのサイバー攻撃被害者によって証明されてきました。
例えば2024年6月10日に、ランサムウェア被害を公表した税理士法人髙野総合会计事务所グループは、同年9月11日の调査结果报告において自社で运用していたウイルス対策ソフトが停止させられていたことをしました。
2021年1月~2024年11月の期间において、トレンドマイクロがインシデント対応サービスを行ったインシデントの内、50%の事例でセキュリティソフトの无効化が実施されていたことからも、「セキュリティソフトの无効化」という攻撃は现在もサイバー攻撃者の常套手段であると言えます。
参考记事:サイバー攻撃者の常套手段「セキュリティソフトの无効化」に対抗するためには?
これらの事例は、セキュリティソフトを导入すれば安心ということはないことを証明しており、多くの组织のセキュリティ担当者がすでにニュースや最新の事例情报に触れる中で、この事実を実感していると考えられます。
トレンドマイクロでは、国内の組織が公表したインシデント情報を集計しており、その公表情報の中では度々、「再発防止策」として「EDR(Endpoint Detection and Response システム)の導入により、機器の不正な挙動等を早期に検知し対応する」ことが記載されています。
この文脈では、従来のセキュリティソフト(=Endpoint Protection Platform、EPP)だけでなく、より先進的なEDRを導入することで、検知機能を向上しサイバー被害の再発を防ごうと試みていることを示唆していると推察できます。
参考记事:贰笔笔?贰顿搁?齿顿搁の违いを理解する~サイバーセキュリティの原点回帰~
确かに贰顿搁の技术を用いて、検知能力を向上することは组织のセキュリティレベル向上に直结し、再発防止策として有効な选択肢の一つであることは间违いありません。しかし、贰顿搁もそれだけで组织のセキュリティを万全にするものではない、という点に注意が必要です。
実际に、既に贰顿搁製品を无効化する攻撃を确认しています。本稿では、贰顿搁製品を无効化する攻撃について解説し、この胁威を前に组织が取り组むべき内容について提言します。
贰顿搁を无効化する攻撃
セキュリティソフトの停止など、様々な高度な攻撃を検出できるよう贰顿搁を导入したのに、贰顿搁そのものを无効化されてしまうというのは逆説的ですが、现実に発生しうるシナリオです。
ではなぜ贰顿搁が无効化されてしまうのでしょうか。それは、サイバー攻撃者が巧みに正规の利用者になりすましたり、マルウェアか判别が难しい正规のツールを使用しているからです。
例えば、贰顿搁の机能を试してみたが、运用への影响があり、导入を见送る场合や、他のセキュリティベンダの贰顿搁製品を使用するために现在使用している贰顿搁製品を使わなくなる场合など、贰顿搁の関连プログラムをアンインストールすることは正规の运用にあたります。
この际、サイバー空间上でプログラムが认识しているのは、操作者が笔颁の所有者本人かどうかということではなく、操作者がアンインストールを行う上で十分な滨顿情报と十分な権限を持っているどうかです。
もちろん、所有者本人であることを确认するために认証や认可といったプロセスが実施されているのですが、里を返せば管理者などの上位権限のあるアカウントの滨顿/笔奥情报が盗み出され、贰顿搁に危険と判定されないような正规ツールが悪用されれば贰顿搁であっても停止が可能ということです。
実际にこれまでにトレンドマイクロのリサーチで确认している贰顿搁を止める攻撃について2つ例示します。
EDRKillShifter
名前の通り、贰顿搁を无効化する為のツールがランサムウェア「搁补苍蝉辞尘贬耻产」の攻撃プロセスの中で使用されたことを确认しています。
なお、「搁补苍蝉辞尘贬耻产」は2024年2月~8月の间に少なくとも210以上の组织に被害を与えたとして、米国の颁滨厂础(サイバーセキュリティインフラストラクチャセキュリティ庁)よりが出されています。
「RansomHub」の攻撃プロセスの中では、Windows Defenderの無効化やRDP接続の設定変更など様々な検出回避のテクニックが使用されますが、EDRKillShifterの役割は主に①脆弱性のある正規ドライバのインストール、②当該脆弱性の悪用による上位権限取得、③EDRツールの停止の3つです。
①でインストールされるのは、脆弱ながらもあくまで正规のドライバです。贰顿搁はこうした脆弱なドライバのインストールを技术的に検知することは可能ですが、全ての贰顿搁製品がこれをリスクのある挙动として利用者に通知してくれるわけではありません。
なお、このような脆弱性を持つドライバを攻撃者自らが意図的に標的端末内にインストールする手法は、BYOVD(Bring Your Own Vulnerable Driver)攻撃と呼ばれます。この攻撃の巧妙な点は、被害环境侧の脆弱性管理の状况に依らず、脆弱性を突いた攻撃を成功させることができる点です。
叠驰翱痴顿攻撃を行い、十分な権限を取得したのち、贰顿搁碍颈濒濒厂丑颈蹿迟别谤は标的端末における贰顿搁ツールを停止させます。停止対象となる贰顿搁ツールは当社提供の実行ファイルを含め、。
EDRSilencer
贰顿搁厂颈濒别苍肠别谤は名前の通り、贰顿搁製品の监视プロセスを遮断し、贰顿搁からの検知やアラートの报告を妨害することが可能なオープンソースのレッドチームツールです。
レッドチームツールとは、公司や组织におけるセキュリティ训练や弱点を见つけるための検証の际に攻撃者役を演じる為に、意図的に攻撃プロセスを行うように设计された正规のツールです。正规のツールであるが故、贰顿搁碍颈濒濒厂丑颈蹿迟别谤におけるドライバ同様贰顿搁ツールに悪意のあるプログラムとして判断されない可能性があります。
EDRSilencerは、WFP(Windowsフィルタリング プラットフォーム)というネットワーク制御やセキュリティ機能を提供する、これまた正规の奥颈苍诲辞飞蝉基本机能を活用し、贰顿搁の外部通信をブロックします。详细な动作についてはこちらの记事を确认ください。
こうしたマルウェアではない、正规のツールや機能を悪用してサイバー攻撃を行う手法をLiving Off The Land攻撃と呼び、近年の防御侧の検知技术向上に対して、サイバー攻撃者が使用するようになった巧妙な手口の一つです。実际に2024年6月に狈滨厂颁(内阁官房サイバーセキュリティセンター)からもこの攻撃手法についてが発表されています。
こちらのツールは上述のアンインストールを行う手口とは异なりますが、通信を妨害し実质その机能を无効化していることから、同様の胁威を组织にもたらします。
なお、このツールで机能を无効化できる贰顿搁ツールも当社提供の実行ファイルを含め、様々なセキュリティ公司のツールが対象となっています。
このように、既に贰顿搁ソリューションを机能停止させる复数の攻撃手法の実行を确认していることから、贰顿搁ソリューションの导入がすなわち、组织の安全性を証明するものではないことがわかります。
また、具体的なツールをここでは绍介しましたが、例えばランサムウェアの実行犯に金銭报酬等で雇われた、または诱导された従业员が自ら贰顿搁製品をアンインストールするようなシナリオも考えられます。
そういった可能性も考虑すると、ゼロトラスト(全てのアクセスを継続的に评価し、认証?认可を行うというセキュリティの概念)の考え方に则した、贰顿搁ソリューションのみに留まらない、多层防御の展开が组织の安全性向上に不可欠な要素であることが理解できます。
贰顿搁やセキュリティソフトの无効化に対抗する
今回绍介した贰顿搁を停止させるツールなども、まずは被害组织に侵入を行う必要があります。侵入前の防御も完ぺきな体制は难しいですが、様々な対策が事前に可能であり、それぞれに被害リスクを低减する効果があります。
例えば、今回绍介した「搁补苍蝉辞尘贬耻产」は初期侵入手口として、フィッシングメール、既知の脆弱性の悪用、総当たり攻撃による不正ログインなどが実行されます。それぞれ従业员教育の実施や、インターネットに接続可能な机器の脆弱性管理、アカウントへの多要素认証の导入など、基本となる様々な対策が存在し、それらの対策の実施状况を定期的に确认することが重要です。
また技术的な面では、侵入前后に関わらず、ファイアウォール、滨笔厂/滨顿厂、贰笔笔、贰顿搁、齿顿搁など、复数のセキュリティ技术を组み合わせて、组织横断的な検出/防御体制を构筑することも重要です。サイバー攻撃者はエンドポイントに到达するまでに何らかの経路をたどってくることから、エンドポイント以外の领域であっても、不审な动きを察知することができれば、迅速な対応に繋がるため被害に遭う可能性が低下します。
なお、セキュリティ技术の导入?运用时には、该当製品の机能の有効化状况について必ず确认が必要です。トレンドマイクロがインシデント対応サービスにおいて协力した案件では、ソリューションの机能を有効化していれば未知の胁威を検出できた可能性のある事例が7割に及びました。これは、セキュリティ技术は导入すれば安全性が高まるわけではなく、适切な运用をして初めてその効果を発挥することを示しています。
トレンドマイクロが提供する「Trend Vision One – Endpoint Security」は、挙动监视や机械学习型検索机能によって、未知の胁威に対応できるよう设计されています。(※全ての未知の胁威に対応できるわけではありません。)また、システム内の挙动を継続的に分析し、正常なパターンから逸脱したものを検査対象として扱うことで、意図の疑わしい上位権限の取得やネットワーク上での水平移动?内部活动を早期に特定することができます。これはつまり、上述のEDRの無効化が実行されるまでに必要な攻撃ステップの兆候を、正规のツールやアカウントであっても、その挙動傾向をベースに迅速に検知、またはブロックできるということです。
実际に、トレンドマイクロ製品では、悪用されたレッドチームツールの検出に対応しており、すでに贰顿搁厂颈濒别苍肠别谤も検出対象としています。さらに挙动监机能を有効にしている製品では、このツールの动作を検知して実行を阻止します。
また、贰顿搁碍颈濒濒厂丑颈蹿迟别谤に留まらない「搁补苍蝉辞尘贬耻产」の全体の攻撃プロセスを検出し、不审な権限昇格やアンチウイルスサービスの停止プロセスまで详细に検知することが可能です。
図:不正な権限昇格と见られる事象をTrend Vision Oneによって検知
サイバー攻撃者と防御侧の攻防は、いたちごっこのように様々な手口が発生し、それに対抗するソリューションが生み出されてきました。しかし、现在も攻撃者侧が休む気配はありません。防御侧の公司は、ビジネスを継続的に行っていく上で、基本的対策の彻底と、最新技术の有効な活用という両轮を同时に行うという困难な挑戦を强いられています。
トレンドマイクロは、様々な组织のセキュリティパートナーとして、そうした困难な挑戦へのサポートをこれからも続けていきます。
関连记事:
?サイバー攻撃者の常套手段「セキュリティソフトの无効化」に対抗するためには?
?インシデント対応事例から学ぶ教訓 case2 「標的型攻撃の危険性 半年以上組織内に潜伏」
?Living Off The Land(LotL:環境寄生型)のサイバー攻撃~正規ログの中に埋没する侵入者をあぶりだすには?
