はじめに

昨今、ネットワーク境界防御とアンチウイルスなどに代表される「従来のセキュリティ対策では検出することが難しい脅威」となりえるもの(以下、本コラムでは脅威と記載します)の侵入を許す事件が発生しています。
ひとたび脅威の侵入を許すと、攻撃者は管理者に気が付かれないよう時間をかけて継続的に攻撃を行うため、中にはシステムの管理者が2年間以上脅威の侵入に気が付けないような場合があります。
結果として、システムの管理者が気付けないうちに被害が拡大し、脅威の侵入に気が付く、あるいはインシデントの発生が公になる頃には事業継続に影響を及ぼす重要な情報が盗まれている事件や、信頼回復に多大な労力と費用を割かなければならないような事件もあります。
このように、従来のセキュリティ対策で検出してから対処を開始するのでは、対応としては遅い場合があります。
早期に脅威の侵入に気が付くためには、特定の通信先へのアクセスや特定のファイルの設置など脅威が取るアクションの情報を起点に、自ら脅威侵入有無の痕跡を探し出しに行く必要があります。

本コラムでは当社が様々な組織と意見交換を行い明らかとなった「脅威侵入有無の痕跡を探し出すことにチャレンジした組織が苦労したポイント」について紹介します。

第一回目となる今回は、苦労したポイントの紹介に先立ち、脅威侵入有無を探し出す行為の効果について、実際の情報セキュリティ事件・事故(以下、インシデント)の事例を基に解説します。

脅威侵入有無を探し出す行為とは

一般的に脅威侵入有無を探し出す行為は「Threat Hunting」または「脅威ハンティング」と呼ばれており、SANS Institute^＊1では「Threat Hunting」を以下のように定義しています。

本コラムでは、「Threat Hunting」を「従来のセキュリティ対策では検出できない潜在的で高度な脅威の存在を特定し、対応を検討する取り組み」と定義します。

Threat Hunting実施の流れ

続いて、Threat Hunting実施の流れについて解説します。
組織により若干異なりますが、基本的には以下の流れで進めます。

① 脅威情報の収集：	世間一般で流行している攻撃手法や特定の業種を狙った攻撃を示唆する情報など、様々なソースから調査対象とする脅威候補の情報を収集
② 調査する脅威の選定：	①で収集した情報の中から調査対象とする脅威を選定
③ 侵害指標の整理：	脅威が侵入していることを発見するためのポイントを整理 例：悪性な通信先、悪性なファイルのハッシュ値など
④ 調査対象の準備：	③のポイントを調査するために必要なデータを準備 例：Proxyログ、ファイアウォールログ、ファイル一覧など
⑤ 調査実施：	③と④の情報を用いて、脅威の侵入有無を調査 脅威侵入の痕跡が認められた場合は、インシデントレスポンスへ移行
⑥ 調査結果を報告：	調査結果を報告：調査結果をまとめて関係部門へ報告

Threat Huntingの効果

最後に、実際のインシデント事例を基に、脅威侵入有無を探し出す行為の効果を解説します。

■ 事例

事例：	2019年に発生した三菱電機株式会社(以下、三菱電機)への不正アクセス＊2
概要：	三菱電機の中国拠点においてウイルス対策管理サーバーの脆弱性を悪用され脅威が侵入し、日本国内拠点にも被害が拡大した。 結果として、従業員の個人情報の他、防衛省など取引先組織の機微な情報が流出した可能性があるとしている。

脅威侵入の事実が確認できたのは、中国拠点に侵入されてから4カ月、日本国内拠点に侵入されてから3カ月が経過した後の7月でした。これは攻撃者が情報を盗み出すには十分すぎる時間です。
では仮にThreat Huntingを実施していた場合、どの時点で侵入に気が付くことができ、また情報漏えいは防ぐことができたのかについて確認します。

ここでは二つのThreat Huntingの調査方法を取り上げます。

一つ目は攻撃者に着目してThreat Huntingを実施する方法です。
本ケースでは、調査の結果、攻撃の成否は明らかではありませんが、2013年頃より複数の攻撃者グループから攻撃を受けていたとされています。
攻撃者グループには、例えば「グループAはマルウェアにDASERFと呼ばれるRATを用いる」「グループBはラテラルムーブメント^＊3にMimikatzと呼ばれるツールを用いる」のように、グループ毎の攻撃手法に特徴を見出すことができる場合があります。
仮にインシデント発生後ではなく、日常のログ分析の過程で複数の攻撃者グループから攻撃を受けていることを突き止められていた場合、攻撃者グループ毎の攻撃手法の特徴を明らかにしThreat Huntingすることで、中国拠点に侵入された2019年3月18日当日の時点で気が付くことができた可能性があります。この場合、日本国内拠点への不正侵入を防ぎ、情報漏えいも防ぐことができた可能性が高いと考えられます。

二つ目は攻撃キャンペーンなど攻撃を示唆する情報に着目してThreat Huntingを実施する方法です。いわゆるダークウェブやハッカーフォーラムなど、攻撃者が情報共有を行う場において、攻撃対象とする組織や攻撃に用いる脆弱性などの情報をやり取りしているケースがあります。2019年3月18日以降の今回の事例において攻撃を示唆する情報がやり取りされていたかは定かではありませんが、仮にやり取りがされていた場合、その情報をいち早く入手することで、攻撃を防ぐように備えることができました。
また、攻撃が成功した可能性を考慮してThreat Huntingすることで、2019年4月3日の時点で日本国内拠点への侵入に気が付くことができ、情報漏えいは防ぐことができた可能性が高いと考えられます。

結論として、本事例においてはThreat Huntingを実施していた場合、脅威の侵入に気が付くまでの期間を最大で4カ月前倒すことができ、日本国内拠点への侵入と情報漏えいを防ぐことも可能であったと考えられます。

この様に何に着目してThreat Huntingを実施するかにより効果は変わりますが、いずれにせよ、攻撃者が管理者に気付かれないよう時間をかけて攻撃を行う場合において、早期に脅威の侵入に気が付くための手段としてThreat Huntingは有効であると考えられます。

まとめ

コラム第一回目となる今回は、Threat Huntingの効果ついて、実際のインシデントの事例を基に解説しました。
次回は、当社が様々な組織と意見交換を行い明らかとなった「脅威侵入有無の痕跡を探し出すことにチャレンジした組織が苦労したポイント」についてご紹介します。

注釈