CrowdStrike Blog：マルウェア不要、台頭する「自給自足型攻撃」とは？

　もし、あなたが自給自足で生きなければならない場合、生き残る術はいくつかあります。しかし、使っていいのはその場で見つけられるものだけです。外から何かを持ち込むことはできません。また、自給自足の暮らしをしている人は、相当真剣に探さないと見つかりません。なぜならそのような人は新しい環境に溶け込んでしまっているからです。

　サイバーセキュリティの世界でも同じことが言えます。あらゆるタイプの脅威を常に特定できる万能薬は存在しません。さらに、攻撃者グループがあなたの環境内で見つけたツールを使用しているならば、検知には相当苦労するでしょう。高度な脅威をブロックする機能は年々向上しています。しかし、さらに高度な技術を身に着けた攻撃者グループらの気概と創造力は高く、その技術もまた素早い進化を遂げています。

　マルウェアは依然として侵入の糸口としてよく使用されるツールです。しかし、それを使うことが最終的な目的ではなく、多くの場合それは攻撃の前触れにすぎません。最初の侵入後には、密かに進行するための、より高度な技術が投入されます。その 1 つが「Living off the Land（ LOTL：自給自足/環境寄生）」です。この手法はシステム上に備わっているネイティブツールを使用して、攻撃者グループの主目的を達成するものです。

　このように、マルウェアを使用しない LOTL の手法は、ここ数年のサイバースパイ活動で頻繁に用いられています。実際に近年ではマルウェアを使用しない攻撃が増加しています。『CrowdStrike 2019年版グローバル脅威レポート』では、その割合は世界全体のサイバー攻撃総数の40％を占めると報告しています。攻撃者らは、検知を逃れ続けるために、LOTL のような防衛回避策にシフトし続けているのです。攻撃者が環境内で検知されずに長く居座ることができれば、業務やその他のデータを探して持ち出したり、破壊するチャンスが増えることになります。

　LOTL の手法を使う目的は 2 つあります。攻撃者は、既存の機能やツールを使用することで、被害者のネットワークに溶け込み、正当なプロセスに紛れて自分たちの活動を隠蔽しようとしています。また、このようなツールを使った悪質な活動が検知されたとしても、それが攻撃に結びついているかは、非常にわかりにくいものです。もしどの攻撃者も同様のツールを使用しているのであれば、それをどの犯罪者グループが使っているのかを区別することはさらに難しくなります。

　このようなことから、次のような疑問が生まれます。そのような攻撃を回避するには、どうすればいいのか？予防ができないとしたら、自分の組織を守るために何ができるのか？できるだけ迅速に防衛上の欠点を見つけるにはどうすればいいか？

　進行中の攻撃を迅速に検知・対応するための技術を配備することは、それを予防することと同様に重要です。以下に企業が採用できる手段をいくつか紹介します。

●侵害アセスメント

　侵害アセスメント（CA）は、「侵害を受けているか？」という重要な問いに対し、簡潔な答えを提供します。CA では、現在と過去のイベントを精査して、その重要な問いに答えます。この問いに効果的に答えるには、不審なレジストリキーや出力ファイルなどの過去の攻撃の兆候とともに、現在活動中の脅威も特定できるツールを使用する必要があります。高度な技術を持った攻撃者グループの多くは、被害者のネットワーク内に、数か月あるいは数年もの間検知を逃れて潜伏しています。CA の過去データ分析機能は、このような状態を検出するために必要不可欠です。

●マネージド型の脅威ハンティング

　脅威ハンティングは、密かに繰り広げられる攻撃を甚大な被害をもたらす前に食い止めるために、多くの企業が採用している重要な手法です。マネージド型の脅威ハンティングサービスでは、ベテランの脅威ハンターチームがあなたの企業のセキュリティデータを調べ、高度な攻撃を示すわずかな兆候がないかを検査するという、シンプルながらも重要なタスクを実行します。マネージド型の脅威ハンティングサービスは、あらゆる企業に存在する重大なセキュリティ上の欠点を埋めるようにオーダーメードされます。

●Silent failure（サイレント障害）を防止する

　どれだけ高度な防御体制を築いていても、攻撃者がセキュリティソリューションを擦り抜けて、環境内に入り込むという可能性は避けられないものです。従来型の防御機能ではそのような状況に気づくことができず、Silent failure（気付かないうちにセキュリティ侵害に遭っている状態）に陥ってしまいます。ひとたび Silent failure に陥ると、従来型のソリューションでは警告を発することもできず、攻撃者が数日、数週間、ときには数か月もの間、環境内に住み着くことになります。そのため、より多くの企業が Endpoint Detection and Response（EDR）ソリューションの導入を検討し、既存の防御機能では適切に処理できなかったインシデントに対応しようとしています。EDR ソリューションは、環境内のエンドポイント上で何が起きているかを継続的かつ包括的にリアルタイムで可視化します。

●アカウントモニタリング

　アカウントモニタリングとマネジメントコントロール機能では、企業環境全体の可視性を提供することで不正なアクティビティの検知・防止を実現します。悪質なアクティビティによるデータの流出やクレデンシャルの悪用を防止するとともに、リソースの所有者がデータにアクセスする人物を管理したり、不正なアクセスが許可されていないかを確認したりできるようにします。

●アプリケーションインベントリ

　この機能では、古くなってパッチが適用されていないアプリケーションやオペレーティングシステムをプロアクティブに識別できるため、環境内のすべてのアプリケーションを安全に管理できます。IT ハイジーンソリューションを使用して企業のアプリケーションインベントリを効率化することにより、セキュリティとコストの問題を同時に解決できます。IT ハイジーンソリューションによって得られる可視性により、パッチやシステムアップデートに関連するエクスプロイトを防ぐことができます。また、ソフトウェアの構成も最適化できます。アプリケーションの使用状況に関するリアルタイムのビューと過去のビューを確認し、使用していないソフトウェアを特定して削除すれば、不要なライセンス料金を数千ドルも節約することが可能になります。

●資産インベントリ

　資産インベントリ機能では、ネットワーク上で実行中のマシンを表示し、セキュリティアーキテクチャーを効果的に展開することができるようになり、不正なシステムが背後で動いてないことを確認できます。それにより、セキュリティ部門とIT部門は、環境内の資産を管理対象、管理対象外、管理不能のように区別して、全体的なセキュリティの向上のために適切な措置を講じることが可能になります。

追加のリソース

・CrowdStrike グローバル脅威レポート：『Adversary Tradecraft and the Importance of Speed（攻撃者の手口とスピードの重要性）』をダウンロードできます。
・CrowdStrike Falconのエンドポイント・プロテクション・プラットフォームが、次世代の行動分析ツールをどのように使用してマルウェアを使用しない脅威を阻止しているかを学びましょう。
・ホワイトペーパーをぜひダウンロードください：『Endpoint Detection and Response: Automatic Protection Against Advanced Threats.』
・ITハイジーンソリューション「CrowdStrike Falcon Discover」の詳細をご覧ください。
・CrowdStrikeの次世代型AVをお試しください：Falcon Preventの無料トライアル版をすぐに試してみましょう。

＊原文はCrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/going-beyond-malware-the-rise-of-living-off-the-land-attacks/