テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

東京オリンピックの妨害を狙ったIoT攻撃をAIが無害化

Oakley Cox, Director of Analysis | 2021年9月20日月曜日

セキュリティにおける最大の問題の1つは、大規模な侵害が発生した際の高ストレス事態にどう対処するかです。するべき事はあまりにも多く、時間はあまりにも少ないのです。あらゆるCISOにとっての悪夢のシナリオは、組織にとってクリティカルな瞬間にこれが発生することです。たとえば、重要な企業買収、大事なニュース発表、あるいはこのケースのように、何百万もの視聴者を引き付ける世界的なスポーツイベントなどです。

脅威アクター達はしばしばこれらのイベントにかかるプレッシャーを悪用して、中断を引き起こしあるいは大金をせしめようとするのです。スポーツイベント、特にF1レース、スーパーボウル、そしてオリンピックは犯罪者達の大きな関心を集めます。

試合の開始

今年のオリンピックではいくつかの攻撃とデータ侵害が記録されています。これには、バレーボールの解説者が自分のコンピュータパスワードを、オンエア中であることに気づかずに同僚に尋ねたというインシデントも含まれています。

Darktraceが発見したより悪質なケースとしては、オリンピックに直接関与していたある競技連盟に対して密かにRaspberry Piデバイスを仕込み、機密データを盗み出そうとした事例がありました。インシデントはオリンピック開幕1週間前に発生し、この時期にデータ流出が起こっていれば組織の評判、計画の秘密性、ひいてはアスリートの安全にも多大な影響が発生していた可能性があります。

Darktrace AIは組織の「自己」に対する変化する理解に基づいてのこのアクティビティを悪意あるものと識別し、Darktraceの自動対処機能であるAntigenaがマシンスピードでアクションを起こして脅威を遮断、人間のセキュリティチームが事態に追いつき攻撃を無害化するための貴重な時間を作り出しました。

以下にこの攻撃を分解して説明します。

図1:合計の滞留時間は3日間

攻撃の分解

July 15, 14:09 — 最初の侵入

この組織のデジタル環境に、不正なRaspberry Piデバイスが接続されましたが、このデバイスは組織内の命名規則に従ったような名前で偽装されていました。小型のIoTデバイスであるRaspberry Piは簡単に隠すことができ、大規模な環境においては物理的に見つけることが困難です。Raspberry Piは2018年のNASAへの侵入を含め、これまでもさまざまな有名なハッキング事例で使われています。

IoTデバイス(プリンターから水槽 まで)は、情報の収集、水平移動、権限の昇格などに悪用できるため、セキュリティに深刻なリスクをもたらします。

July 15, 15:25 — 外部VPNアクティビティ

異常なUDP接続が外部エンドポイントに対して1194番ポートを介して行われました(Open VPNアクティビティ)。 URIは、デバイスがOpen VPNコンフィギュレーションファイルに関係あると思われるデータをダウンロードしたことを示しています。これは、データ抜き出しなどの悪意あるアクティビティのためにセキュアなチャネルを確立しようとしていたものかも知れません。

送信VPNを確立することにより、攻撃者は自らのアクティビティを見えにくくし、この組織のシグネチャベースの検知セキュリティをすり抜けました。システムはこの暗号化されたトラフィックを検知できなかったのです。Antigenaは暗号化とは関係なくこの疑わしい接続を即座にブロックしました。このアクティビティが新しいデバイスの「生活パターン」から逸脱していることを識別したためです。

July 15, 16:04 — C2 アクティビティの可能性

Raspberry Piはすぐに、新しい外部エンドポイントに対して繰り返しHTTP接続を開始し、オクテットストリーム、任意のバイナリデータをダウンロードしました。このアクティビティはWebブラウザではなく、スタンドアロンソフトウェアプロセスにより開始されたように見えます。

Darktraceはこのデバイスが同じエンドポイントに対して不審な外部データ転送を行っており、新しいロケーションとデバイスの名前についてのCall Homeデータが含まれると思われる7.5 MBものデータをアップロードしていることを明らかにしました。

July 15, 16:41 — 内部偵察

デバイスは3つの内部IPアドレスに対しさまざまなポートを使ってTCPスキャニングを実行しました。ネットワークスキャンは3台の内部サーバーのみに対するものでしたが、このアクティビティはDarktraceによって疑わしい内部接続の増加と内部接続の失敗として識別されました。

AntigenaはこのRaspberry Piがスキャニングアクティビティに関係していたポートを使って内部接続を行うのを即座に停止させるとともに、デバイスの「生活パターン」を強制しました。

図2:Darktraceによるネットワークスキャニング検知を可能にしたコンポーネントを示すデバイスイベントログ

July 15, 18:14 — 複数の内部偵察テクニック

Raspberry Piはその後SMBポート445番を使って多数のデバイスをスキャンし、古いSMBバージョン1プロトコルの不審な使用が見られました。これは悪用可能な脆弱性を探すためのより深い偵察を行ったものと思われます。

このスキャニングアクティビティと、安全ではないSMBv1プロトコルの使用に反応してAntigenaはこのソースデバイスからデスティネーションIPへの接続を1時間に渡りブロックしました。

4分後、デバイスはオープンソースの脆弱性スキャナ、Nmapへの接続を行いました。Nmapは脆弱性スキャンの目的で正しく使われることもあるため、従来型のセキュリティツールでは警告されないことがしばしばです。しかし、DarktraceのAIはこのツールの使用がきわめて異常であることを検知し、10分間に渡ってすべての送信トラフィックをブロックしました。

July 15, 22:03 — 最終的な偵察

3時間後、Raspberry Pi は6個の外部IPに対して別のネットワークスキャンを開始しました。これは最終的なデータ抜き出しの準備を行ったものです。Antigenaはデバイスが接続しようとしていたこの外部IPに対する正確なブロックで瞬時に対応し、データの抜き出しを阻止しました。

30分後、DarktraceはこのRaspberry Pi からSMBとNTLM認証プロトコルを使ったブルートフォースアクティビティを検知しました。デバイスは1台の内部デバイスに対して100個以上のユーザーアカウントを使って大量のログインを試行し、失敗していました。Antigenaはこのアクティビティをブロックし、さらなるSMB水平移動の波を食い止めることに成功しました。

この時点までに、Antigenaはセキュリティチームが対処を行うのに十分な時間を稼いでいました。チームはこのRaspberry Piに対して、デバイスの設置されている物理的な場所を見つけ出しネットワークから切断するまでの間、Antigenaの隔離ルール(Antigenaが取ることのできる最も厳しいアクション)を適用しました。

AI Analystはこのインシデントをどうつなぎ合わせたか

Cyber AI Analyst は、この攻撃の3つの主要な場面について自律的にレポートを生成しました:

  • 不審な外部データ転送
  • HTTP コマンド&コントロールの可能性
  • 複数のデバイスに対するTCPスキャニング(データ抜き出しの試み)

Cyber AI Analystは複数日に渡るアクティビティをつなぎ合わせましたが、人間のアナリストであれば見逃されていた可能性も大いにあります。AI はスキャニングアクティビティの範囲も含め、重要な情報を提供しました。こうした情報は人手で計算しようとすると時間がかかるものです。

図3:C2アクティビティの可能性を提示するCyber AI Analystの画面

Autonomous Response

Antigenaは疑わしい挙動を無害化するために、一貫して的を絞ったアクションを取り、通常の業務は妨げられることなく継続することができました。

広範囲なブロックを行うのではなく、Antigenaは状況に応じて様々なきめ細かい対応を実施し、常に脅威に対処する上で最も小さくて済むアクションを取りました。

図4:ネットワーク偵察の試みと、Antigenaによる的を絞ったアクションを示すDarktraceのUI。すべてのIPアドレスがランダム化されています

Raspberry Pi: IoTの脅威

オリンピックは206の国と約11,000人のアスリートが参加するイベントであり、多くのハクティビスト、犯罪者グループ、国家からの攻撃に直面しており、また多数の放送局が遠方で番組を作り、何百万人もの人が自宅で視聴しています。オリンピックに関わる組織にはこの重圧に耐えられるセキュリティソリューションが必要でした。

このような世界最大のイベントにおいても、脅威は非常に小さなところからやってくることがあります。許可されていないIoTデバイスを検知し、デジタルエステート内のすべてのアクティビティに対する可視性を維持する能力はきわめて重要です。

Autonomous Responseは予期せぬイベントに対する防御を提供し、ユーザーからの入力を何ら必要とすることなく悪意あるアクティビティをマシンスピードで阻止します。このことは特にリソースが逼迫した社内セキュリティチームにとって、迅速な対処と修正のために必要です。システムを防御し攻撃者に先んじることにかけては、AIが常に勝者となります。

この脅威についての考察はDarktraceアナリストEmma FoulgerおよびGreg Chapmanが協力しました。

2台のRaspberry Piデバイスがヘルスケア企業を感染させた事例について知る

Darktrace によるモデル検知結果:

  • Compromise / Ransomware / Suspicious SMB Activity
  • Tags / New Raspberry Pi Device
  • Device / Network Scan
  • Unusual Activity / Unusual Raspberry Pi Activity
  • Antigena / Network / Insider Threat / Antigena Network Scan Block
  • Device / Suspicious Network Scan Activity
  • Antigena / Network / Significant Anomaly / Antigena Significant Anomaly from Client Block
  • Antigena / Network / Significant Anomaly / Antigena Controlled and Model Breach
  • Device / Suspicious SMB Scanning Activity
  • Antigena / Network / Significant Anomaly / Antigena Breaches Over Time Block
  • Device / Attack and Recon Tools
  • Device / New Device with Attack Tools
  • Device / Anomalous Nmap Activity
  • Device / External Network Scan
  • Device / SMB Session Bruteforce
  • Antigena / Network / Manual / Block All Outgoing Connections

観測されたMITRE ATT&CKテクニック:

ReconnaissanceT1595 – Active Scanning
T1595.001 — Scanning IP Blocks
ExfiltrationT1041 — Exfilitration over C2 Channel
DiscoveryT1046 – Network Service Scanning

Oakley Cox

Oakley Cox is Director of Analysis at Darktrace, based at the Cambridge headquarters. He oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.