ますます発見しづらくなった侵入の痕跡、3つの独自ツールで調査、対策
6月21日、デル傘下のSecureWorks Japanは「標的型攻撃ハンティング・サービス(Targeted Threat Hunting、以下TTH)」の国内提供を開始すると発表した。グローバルのセキュリティアナリストチーム「Counter Threat Unit(CTU)」と国内のセキュリティ専門部隊が連携して、独自開発したハンティング技術などを活用しながら顧客企業に潜む標的型攻撃の兆候を可視化、攻撃を終焉させ対策を実施する。
SecureWorksでは、同社の「緊急インシデント対応サービス」で2015年に対応した案件を分析した。その結果、電子メールの添付ファイルやURLを介した感染・不正サイトへの誘導を仕掛ける一般的な脅威に対し、標的型攻撃ではこうした一般的な攻撃手法が通用したかどうかを見てから、標的とする企業の対策状況を予測し、着実に侵入するための試行錯誤を執拗に繰り返すことが分かった。
「最近はマルウェアを使わず、認証情報を盗み出して、よく使われている管理者ツールで通信する。そのため正規の通信と見分けがつかず、昨年TTHで受けた400件の案件のうち、半数は侵入経路が分からないものだった」。SecureWorksでCTUを率いるバリー・ヘンズリー氏は、現状をこう説明する(なおTTHは、グローバルでは2012年より提供している)。
TTHは、調査対象の範囲を顧客と詰めたうえで、顧客のネットワーク環境に侵入の兆候または痕跡があるかを調査し、攻撃の封じ込めと根絶を実施、サイバー攻撃を受ける時間や影響を最小限に抑える。現状を確認できるほか、M&A案件で買収企業のセキュリティ状況を検証するために利用するところもあるという。
ハンティング方法は、大きく3つに分けられる。独自開発されたエンドポイント向けふるまい検知ツール「Red Cloak」を使ったエンドポイント分析、不正な通信を検知する「Lastline」を使ったネットワーク通信分析、そしてさまざまな機器のログと分析結果の相関関係を見て攻撃を特定するログ分析だ。
「Red Cloakは、2011年に開発したツールだ。調査や攻撃の根絶、対策を実施したあとも、Red Cloakをインストールしたまま残して状況が本当に改善されたかどうかを確認することも多い」。CTUのジャスティン・ターナー氏はそう述べて、Red Cloakをそのままマネージドサービスの1つとして採用し続ける顧客も増えていると明かす。
同サービスを採用したある製薬会社では、従業員12名にフィッシングメールが送りつけられて偽サイトに誘導され、従業員の認証情報が詐取される事案が発生した。正規の認証情報を使った通信は通常の通信に紛れ込むため検出が難しく、24時間以内に45のシステムへの不正侵入を許してしまった。「TTHを採用した結果、攻撃者がVPNでリモートアクセスしながらFTP経由で収集データを送信していたことが判明。早急に対策し、被害を最小限に抑えることに成功した」(ターナー氏)。
日本の対応チームには、現在15名のメンバーが在籍する。「国内サービスでは、日本の商習慣や文化、言語を熟知した日本チームが、グローバルのCTUチームと連携しながら対応する」(SecureWorks Japan 三科涼氏)。