CrowdStrike Blog:可視化と制御、職場での USB 安全利用の秘訣 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.22(木)

CrowdStrike Blog:可視化と制御、職場での USB 安全利用の秘訣

最近の調査によると、USBドロップ攻撃はほぼ50%の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。

脆弱性と脅威 脅威動向
CrowdStrike Blog:可視化と制御、職場でのUSB安全利用の秘訣
CrowdStrike Blog:可視化と制御、職場でのUSB安全利用の秘訣 全 1 枚 拡大写真
 ソーシャルエンジニアリングは常にハッカーによって悪用され、セキュリティチームに危機感を与えています。

 ハッカーらは、巧妙な攻撃手法と人間が元来持つ好奇心をうまく利用して、日々ユーザーを餌でおびき寄せてリンクをクリックさせる、フィッシングメールに反応させることに成功しています。ベイティング(Baiting-餌まき)は、企業内のセキュリティが最も脆弱な箇所であると言える『エンドユーザー』を狙った非常に成功率の高いテクニックです。このタイプの攻撃は非常に効果的であるため、昨今成功した攻撃の半数以上で使用されています。

「落とし物」で釣る:USBドロップ攻撃

 ベイティングでよく使われるのが、「USB」ドロップと呼ばれる攻撃です。この攻撃は、マルウェアを仕込んだUSBデバイスをユーザーが拾い、エンドポイントに挿入するように仕向ける

 ものです。この攻撃は壊滅的な被害をもたらします。なぜならば、リムーバブルメディアを利用すれば、大学から国際宇宙ステーションに至るまでのいかなるネットワークにも侵入できるからです。
悪質なプログラムの書き換えやUSBデバイスドロップは、次の3つを実行可能とします。

 悪質なコード:攻撃者が悪質なコードをUSBデバイスに仕込んでおきます。このコードは、USBデバイスがデバイスに接続されたとき、あるいはユーザーがデバイス内に格納された悪質なファイルをクリックしたときに自動実行されます。このコードは、ワームからリモートアクセス型トロイの木馬まで何でもインストールできます。瞬時にエンドポイントを感染させると、別のマルウェアをダウンロードするための足掛かりを作ります。

 水飲み場攻撃:ソーシャルエンジニアリングの手口を使って最初のドロップ攻撃を実行することのほかにも、ウイルスが埋め込まれたUSBデバイス上に悪質なHTMLファイルを格納し、ユーザーに開かせて、水飲み場攻撃に使用するサイトに誘導する場合があります。そのようなサイトでは、個人を特定できる情報(PII)を入力させようとします。

 ヒューマン・インタフェース・デバイス・スプーフィング:さらに高度な攻撃になると、一見USBメモリーに見えるデバイスを利用し、実際にはまったく異なるデバイスとして動作させます。たとえば、USBキーボードの機能を持たせたデバイスが不正なキー入力を実行し、攻撃者によるエンドポイントへのリモートアクセスを可能にするケースもあります。

 最近の調査によると、USBドロップ攻撃はほぼ50%の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。同じ調査では、拾ったUSBデバイスをマルウェアスキャンを実行せずにPCに接続して、中のデータにアクセスしたユーザーの割合は68%でした。

奮闘は続く

 企業のセキュリティチームは、USBデバイスを安全に有効化しながらリスクを軽減する方法に関するジレンマを抱えています。従来の対応は、すべてのUSBデバイスを禁止するか、どのデバイスがエンドポイントにアクセスできるかを決定するデバイス制御ソリューションを使用してそれらを管理することでした。しかし、残念ながらそれらのソリューションでは不十分です。USB関連の侵害は前年比で8パーセント増加しており、現在では全侵害の約3分の1を占めています。
セキュリティチームは主に2種類のデバイス制御ソリューションに依存してきました。

 スタンドアローン型:機能単体型のソリューションは1つのUSBメモリーからさまざまなUSBデバイスに至るまで厳密なコントロールを提供します。ただし、そのようなソリューションは他のセキュリティと統合されていないため、インストールと管理に追加の時間と労力が必要です。また、デバイス制御ポリシーが適切であることを確認するための必要な可視性とコンテキストが欠如しています。環境内でどのデバイスがどこで使用されているかを可視化するには、他のセキュリティツールを追加で採用しなければなりません。

 エンドポイントスイート型:エンドポイントセキュリティベンダーは、一般的にはエンドポイントセキュリティスイートの一部として「統合型の」デバイス制御ソリューションを開発・販売してきました。しかし、それらのソリューションは、多くの場合本当の意味で統合されていません。通常これらのスイートは、個別の管理コンソールと追加のエージェント(および大きなシステムフットプリント)を必要とします。また、提供するデバイスの可視性は限定的です。その結果、セキュリティチームはデバイスに関する背景情報を得られず、環境内の状況把握が難しくなります。また、USBデバイス関連のセキュリティインシデントが発生した場合には特に、ソリューション自体が貴重なリソースを消費します。

 どちらのソリューションも、どのデバイスがどこで使用されているかを即座に可視化できないため、セキュリティチームは正確なUSBデバイスの制御ポリシーを実施・管理するために必要な知識を得ることができません。その結果、ソーシャルエンジニアリングの首謀者らは、ベイティング攻撃が入り込む格好の隙ができたとほくそ笑んでいるのです。

CrowdStrikeでUSBドロップ攻撃を封じ込め

 CrowdStrike のFalcon Device Controlは、USBデバイスに対する比類のない可視性ときめ細かい制御を提供することによって、USBドロップ攻撃によるベイティングのリスクを軽減することができます。このデバイス制御ソリューションは、軽量のFalconエージェントを介して提供されます。Falconエージェントは単一で複数機能を提供しており、デバイス制御もEDR機能ともシームレスに連携するため、既存のスタンドアローン型やエンドポイントスイート製品では実現できない、環境内でどのデバイスがどこで使用されているかを瞬時に確認できます。Falcon Device Controlは、他の製品にはない3つの重要な機能を提供します。

 前例のない可視化機能:Falconプラットフォームは可視化主義です。つまり、情報に基づいたセキュリティ上の意思決定を行うために、環境内のすべてを見渡すことができるということです。Falcon Device Controlは、追加の外部ツールを必要とせずに、USBポートを介して動作しているすべてのデバイスを自動的に検出して報告します。セキュリティチームはものの数秒で、リアルタイムデータや履歴データを検索して、攻撃プロセス、影響を受けるホストとユーザー、感染したデバイスなどを含む攻撃のパターンを特定できます。

 きめ細かい制御:可視性によって行動が促進されたセキュリティチームは、Falconを使用してポリシーを定義し、オンラインでもオフラインでもデバイスを特定してポリシーを適用できます。Falconプラットフォームによって提供される自動可視化機能を利用してFalcon Device Controlは、セキュリティチームが確認した内容に基づいて、その場でただちにポリシーを更新できるようになります。

 クラウドネイティブのアーキテクチャー:Falcon Device Controlは100%クラウドで提供および管理されるため、即座に稼働、数分でポリシーを作成・展開できます。セキュリティチームは、関連するすべてのUSBデバイス情報を1か所で管理し、迅速かつ効果的に対応できるようになるため、複数のソリューションを利用し時間を取られる必要がなくなります。

このような機能を身に着ければ、セキュリティチームはUSBドロップ攻撃など、USBデバイス関連のリスクに効果的に対処できます。ユーザーが危険性を知らずにUSBデバイスをエンドポイントに接続した場合、セキュリティチームはFalcon Device Controlを介してイベントをすぐに確認し、以降の動きを阻止することができます。

追加情報:
 ホワイトペーパー『SecuringYourDevicesWithFalconDeviceControl.』(英語)
 CrowdStrikeFalconプラットフォーム製品のWebページ(英語)
 CrowdStrikeの次世代型AV―FalconPreventの無料トライアル

*原文はCrowdStrikeBlog サイト掲載:Visibility and Granular Control: The Secret to Securing USB Devices In the Workplace

《Damien Lewke ( CrowdStrike)》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

    不正アクセスでカード情報流出、安全のためサービス再開を断念(HARIO)

  2. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  3. サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

    サイバー犯罪捜査官、採用選考受付8月1日から(大阪府警察)

  4. Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

    Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応(JVN)

  5. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  6. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  7. 6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

    6月末からメンテナンス中の「ECオーダー.com」カード情報流出の疑い(チャンピオンソフト、まどそふと、エウクレイア、葉月)

  8. 「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

    「BIG-IP」に重大な脆弱性、関連情報を紹介(エフセキュア)

  9. 毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したか

    毎年アンチウイルスを更新する「攻め」のセキュリティグループはなぜ、CrowdStrike の EDR を選定したかPR

  10. マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

    マイクロソフトが月例セキュリティ情報を公開、10製品を更新(IPA、JPCERT/CC)

ランキングをもっと見る