ダークトレース

「自己」を知り、新たに発生する脅威を検知する

エンタープライズ・イミューンシステムは、新しい監視されていない機械学習および確率的数学を初めて実装した、サイバーセキュリティの問題を解決するための、ダークトレースの主要なサイバー防御ソリューションです。

エンタープライズ・イミューンシステムは、小企業から大企業まで、あらゆる規模の組織のためにデザインされたソフトウェアプラットフォームで、ダークトレースが予備知識なしでも、ネットワーク内からの最も巧妙なサイバー攻撃を検知できるようにしています。

ケンブリッジ大学が開発した機械学習およびベイズの確率論の新部門により強化されたエンタープライズ・イミューンシステムは、膨大なデータ内の異常行動が何を目的としているか、事前知識なしに検知できる唯一のサイバー防御技術です。

ネットワーク活動の全面的な可視化により、リアルタイムで脅威を特定し分類するダークトレースの能力は、他に類を見ません。エンタープライズ・イミューンシステムは、弱みを示す多くのポイントと、ともすれば忙しいネットワークのノイズの中で見過ごされてしまう情報のわずかな変化を関連付けることにより、全てのユーザーおよびデバイス、そして企業全体に対して独自の行動モデルを創り上げます。ダークトレースの技術はこれらのモデルを活用し、大量の誤検知を生じさせることなく、発生する真の脅威の強力な実態を、迅速に収集することができるのです。

ダークトレースは、イミューンシステムのアプローチを応用した、初めてのフルスケールのサイバー防御技術です。従来のセキュリティツールをすり抜けてしまう異常を見つけ、損害を被る前に、組織が積極的かつ現実的に深刻なサイバーリスクに対処できることが証明されています。

  • 監視なしの機械学習およびベイズの数学を動力源に
  • リアルタイムで正常および異常行動を知り、発生する異常性を検知
  • 脅威の自動分類、ワークフローとコラボレーションのサポート
  • ネットワークトラフィックの100%の完全分析と可視化
  • 内部および外部のサイバー攻撃からの保護

インダストリアル・イミューンシステム

IT とOTネットワークの同時保護

エネルギーや上水道から運輸ネットワークおよび製造工場まで、国家の重要なインフラストラクチャにとって、産業制御システム(ICS)は不可欠なものです。歴史的に見て、これらのシステムは、企業のネットワークを物理的に隔離する「エアギャップ」によって、外部の攻撃から守られてきました。

しかし、IT と制御技術(OT)システムは、グローバル化の経済的圧力や、リモート管理によるコスト削減など、これらの原則の統合から生じる競争上の優位性、およびIT とOT環境間でやり取りされるデータを利用したビジネス最適化によって動かされ、一点に向かって合流しています。

この合流によって、IT環境でよく見られるようなサイバー攻撃の類に対する脆弱性が増すようになりました。例えば、2014年に発生したウイルス「Stuxnet」(スタックスネット)やドイツの製鋼所へのハッキングは、そのような攻撃がもたらす損害の可能性を表しています。

ダークトレースのICS向けインダストリアル・イミューンシステムは、“免疫システム” をリアルタイムで制御技術に対して実行する基本的イノベーションです。このシステムはベイズの確率論における画期的な進歩を利用し、ICS内のユーザーおよびデバイスの正常行動を理解し、起こり得る脅威を事前に定義することなしに発生する脅威を組織が検知し、危機が生じる前にそれらに対応できるようにします。

  • 産業制御システム(ICS)向けのリアルタイムの脅威検知
  • 機械学習とベイズの数学を動力源に
  • ユーザーおよびデバイスの正常・異常行動の学習
  • 内部および外部のサイバー攻撃からの保護
コーポレートネットワークおよび産業用制御システムのためのサイバーセキュリティ

ダークトレースが発見するもの

ルール、署名または事前知識に頼ることなく脅威を検知できる、エンタープライズ・イミューンシステムの独自の能力によって、ダークトレースは他のセキュリティツールをすり抜ける異常性を見つけ出します。

危険なマルウェアにリンクしたリモートアクセス攻撃

ダークトレースは、RAT(リモート操作 ツール )を利用した会社の企業ネットワークへの攻撃を特定します。これは、よく知られたボットネット、つまりインターネット上で攻撃者がコントロールする、感染したコンピュータで形成されたインフラストラクチャ関連の活動結果と見られています。マスコミは、東ヨーロッパのサイバー犯罪グループがこのボットネットをコントロールしていると報道しました。攻撃者達は、クレジットカード情報の入手、企業の極秘データの盗用、Eメール攻撃など、さまざまな悪意ある活動のためにボットネットを利用しています。

ウイルスのこの特定の変異形は、サンドボックスの防御による検知を避けられるよう自ら順応し、ホストベースのセキュリティツールやアンチウイルスを避けるためにオペレーティングプロセスを隠してしまうこともあるのです。それは非常に賢く、動的形態のマルウェアで、従来のセキュリティツールにより検知されないよう複雑なアルゴリズムを使用しています。ダークトレースは、これらのコンピュータ行動を長い期間をかけて比較することにより、その存在の形跡を見つけることができました。

異常なデータの転送

ダークトレースは、ある会社のマシンが、しばしば攻撃されるAdobe Flashソフトウェアを使用して、一つのIPアドレスに異常なインターネット接続をしていることに気づきました。怪しいことに、このIPがDNSで参照されている証拠はなく、接続にはHTTP GETリクエストのコマンド名を含んでいました。これは、会社のファイヤーウォールやその他の境界部防御を妨げられることなく通るチャネルを利用して、攻撃者が仕掛けた通信の隠ぺい方法に見えました。その後の更なる調査により、これはマルウェアの感染だったことが明らかになりました。

データベースサーバーへの不正なアクセス

ダークトレースは、ある会社のデータベースサーバーが、様々なインターネット地点から繰り返し非暗号化接続を許可していることを特定しました。これらのマシンは、極東の通信会社に割り振られたIPアドレスの値域を使用していました。ダークトレースがこれらの接続を処理したところ、転送されていたデータは財務情報でした。攻撃者はしばしば、高い価値のある情報を求めてデータベースサーバーを標的にします。ダークトレースが気づいた、このサーバーへのインターネットからの直接的で非暗号化の通信は、非常に危険なものでした。このサーバーを通した、重要な財務データの漏えいや改ざんの可能性は、会社の業務や評判にも深刻なリスクとなり得たのです。

管理者認証情報の不正使用

ダークトレースは、特権的ユーザー認証が、異常な時間に会社のネットワークへ繰り返しログインされていることに気づきました。この活動は、朝の早い時間帯に始まり、正午ごろ終わりました。このユーザーが通常就業日のみログインしているとすれば、これは異常行動であり、会社のセキュリティへの深刻な脅威となります。なぜなら、システム管理者は、会社のネットワークやデータへの最高のアクセス権を有しており、攻撃者はこうした認証情報を悪用していたかもしれないからです。

高速旅行表示パスワードの漏えい

ダークトレースのエンタープライズ・イミューンシステムは、あるユーザーの認証情報が、ヨーロッパと東アジアの2箇所から同時に使用されていることに気づきました。ユーザーがリモートで作業していたのかも知れませんが、この行動は、ユーザーのパスワードが漏えいし、会社外の第三者によって不正使用されていたかもしれないことを意味しています。

アドバンストパーシステント攻撃にリンクしたウェブサイトへの接続

ある会社のデバイスは、東アジアの国々のアドバンストパーシステント攻撃(APT)グループにリンクされたサーバーに繰り返し接続していました。ユーザーは人気のあるソーシャルネットワークのウェブサイトから、疑わしいウェブサイトへリダイレクトされ、一見危険なビデオを見ていたのです。ダークトレースはこの疑わしい活動を検知し、会社側は、海外の競合他社への知的財産の漏えいの危険がある新たな異常性を効果的に修正しました。

ランサムウェアへの感染

ダークトレースは、ある組織のマシンに疑わしい行動を示す複数のサインを検知しました。あるユーザーが、朝の早い時間帯に、人気のあるニュースサイトを閲覧していたところ、疑わしい検索バーがユーザーのブラウザーに表れました。これは恐らく、ユーザーがページ上の悪意のある広告コンテンツをクリックしたためと考えられます。そのマシンは、恐らくクリックによる収入を得るために、ユーザーの検索結果を裏で操作するようになりました。

悪意のあるリンク先をクリックすると、ユーザーはその後疑わしいウェブサイトにリダイレクトされ、そこでも沢山のダウンロードが行なわれました。詳細に分析したところ、このウェブサイトはその活動の見られた前日に登録されました。登録された電話番号はロシアでしたが、アドレスは米国を拠点としたものでした。

この活動は、よく知られたランサムウェアへの感染のサインを示していました。それは、ユーザーのファイルを暗号化し解読不能にするマルウェアの一種で、それらを解除する料金をユーザーに強要するものです。これは、会社のデータ保全および継続的な事業運営に対する明白なリスクです。ダークトレースは、写真、会議の詳細、製品テスト報告を含む多数の内部ファイルを通して、マルウェアが既に繰り返されていたことに気づきました。

ドメイン生成アルゴリズム

ダークトレースは、ある会社の複数のデバイスが同じ異常行動をしていることを検知しました。そのデバイスは、ランダムに作り出したドメイン名により短時間に1000以上の接続を試みていました。“ドメイン生成アルゴリズム”が使用されたことは間違いありません。これは、攻撃者が多数のドメイン名を通して自らのサーバーを移動させ、セキュリティ担当者に彼らの特定をしにくくさせ、攻撃者が検知からうまく切り抜けられるように使用するありふれた方法です。

悪質なウェブサイト“drive-by”

会社のあるユーザーは、合法のウェブサイトでブルースの音楽について閲覧している時に、悪質な“drive-by”攻撃を受けました。マシンはユーザーに知られることなく、カリフォルニアで最近登録された別のサイトにリダイレクトされていました。詳細に分析したところ、ドメイン名が疑わしく、その一部は偽装した形の他のドメイン名を含んでいました。その後、マシンは更にいくつかのサイトにリダイレクトされていました。ダークトレースは、これがユーザーによる行為ではないと判断し、マルウェアが既にデバイスにインストールされていると示唆しました。

社内リソースのポートスキャン

ダークトレースのエンタープライズ・イミューンシステムは、ある会社のマシンが内部ネットワークのポートスキャンをしており、どのマシンが特定のサービスを行なっているかを確証するためであるようだとに気づきました。関係したマシンは、アップル社製品でしたが、不審に見えるWindowsの古いバージョンのOSを使用しているとのことでした。ポートスキャン活動は、このマシンの正常な使用パターンからすると異常で、攻撃者が更なる搾取の前にネットワークの偵察を試みていると示唆しました。

'Tor'匿名ネットワークの利用

ダークトレースは、ある会社のマシンが'Tor'ネットワークを介してインターネットに接続していることを特定しました。'Tor'ネットワークは、接続を匿名化し暗号化することで、ユーザーに完全なプライバシーと匿名性を与えます。ダークトレースは、これが会社の方針への明らかな違反になるとして、組織に報告しました。

極東とのP2P(peer-to-peer)接続

ある会社のデバイスは、極東のサーバーと3日間連続で’peer-to-peer‘タイプのインターネット接続をしていることが検知されました。マシンはその後この曖昧なチャンネルを通して情報を送りました。これは、マシンの正常行動と比較すると異常な動きで、会社のセキュリティにリスクを及ぼすことは明白でした。peer-to-peer接続の使用が見過ごされていたということは、第三者が会社のデータをこっそり引き出しても会社に気づかれないということです。

ビットコインマイニング

ダークトレースは、会社のあるマシンが異常な接続をしていると警告しました。そのマシンは、定期的にビットコインと呼ばれる仮想貨幣を採掘していました。これには、マシンが第三者と演算能力を共有し、新たなビットコインを生み出すことが含まれます。そのマシンはボットネットの一部のようでしたので、複数のコンピュータのネットワークが全て一人の攻撃者によって制御され、会社のリソースを悪用することで利益を得ようとしていたのです。

存在しないドメイン名への接続の試み

ダークトレースは、会社の3台のデバイスが、一定期間異常行動をしていたため、マルウェアに感染していることを検知しました。それらのマシンは、悪質トラフィックを隠すために、外部のDNSサーバーから存在しない大量のドメイン名を要求していました。また、その会社にはマシンのうち1台についての用途記録がなく、それも非常に疑わしく、恐らくインサイダー脅威の兆候だと考えられました。

異常な内部ファイルの転送

ダークトレースは、米国にある会社のコンピュータが、1GBに及ぶ異常に大量のデータをダウンロードしていることに気づきました。このデータは会社の共有フォルダーから来たものでした。このマシンで作られた行動モデルによると、この方法でデータが度々ダウンロードされていましたが、これほど大容量のものではありませんでした。この異常を検知してから、会社は従業員がアクセス権を乱用できないよう是正措置を取りました。

疑わしいJavaのダウンロード

あるユーザーが電子機器についてのウェブサイトを閲覧している時、マシンが他のサイトへリダイレクトされ、悪質JavaScriptをダウンロードするよう指示されました。これは、悪質コンテンツを忍び込ませるために悪用される一般的な方法です。その後、マシンは‘.jar’ファイル(Javaのアーカイブファイル)をバックグラウンドでダウンロードし、マシンを悪用するために攻撃者はそれを利用しました。このファイルは、セキュリティの世界では悪質であるとして知られていますが、会社の他の防御ではこの攻撃を防ぐことはできませんでした。

仮想ロシア語キーボードの使用

ある会社のデバイスは、仮想ロシア語キーボードをユーザーに提供するウェブサイトを使用していることが分かりました。ダークトレースは、この異常動作が会社の英国本社内で起きており、リモートの攻撃者が自分の言語でコマンドをタイプするためにキーボードを変えようとしたことが伺えたため、疑わしいと判断しました。

XOR の難読化を利用した疑わしいファイルのダウンロード

ある会社のマシンが、インターネットから社内ネットワークに疑わしいファイルをダウンロードしていることが分かりました。ファイルはバイナリ形式でしたが、そのコンテンツはXORとして知られる難読化形式を使用して偽装され、その目的が意図的に隠されていました。ファイルを提供したウェブサイトは、以前マルウェア攻撃に加担したことがありました。ダークトレースは自動的にファイルの難読化を解除し、脅威の疑いを企業に警告しました。

'bring-your-own-device' (BYOD‐個人所有デバイスの持ち込み)のリスク

あるユーザーは、会社の企業ネットワークに接続して、自分のiPhoneに個人のEメールをダウンロードしていたことが分かりました。このタイプのEメール通信は企業の境界セキュリティツールでは監視されていないため、会社がスピア型フィッシング攻撃を受ける危険にさらされます。その攻撃では、攻撃者は合法の問い合わせ先や企業に見せかけ、ユーザーがEメールに仕込まれた悪意のあるリンク先や添付ファイルをクリックすることを狙っています。スピア型フィッシング攻撃は成功率が高いことで知られており、防御の弱い個人のデバイスを故意に標的にしています。iPhoneが企業ネットワークに接続され、フィッシング攻撃が成功し、攻撃者がiPhoneを飛び越えて企業のリソースに乗り移ったならば、システム保全や会社の評判を危険にさらしていたことになります。

次: 業界