ラテンアメリカでのデータ流出事例
データ抜き出しはサイバー犯罪者に人気のあるビジネスです。政府機関から中小企業に至るまであらゆる組織には機密データが存在し、これが盗まれて脅迫に使われることも、競合他社に利用されることも、あるいはその組織のシステムにさらに入り込むために使われることもあります。これはランサムウェアアクターにとっても現在preferred technique です。一部のRaaS(Ransomware-as-a-Service)グループは新しいタイプの恐喝型マルウェア、‘extortionware’ を使い始めました。これは暗号化を行わないデータ盗み出しに的を絞ったマルウェアです。
カネになる標的
ラテンアメリカのある医薬品メーカーにおいて、Darktraceは最近、社内の重要ファイルの抜き出しを検知しました。
この組織は2つの理由で魅力的な標的でした。1つ目の理由は、医薬品メーカーには価値の高い知的財産や患者データが豊富にあることです。昨年も、脅威アクターや国家組織によりワクチン研究および流通システムへの侵入を狙った絶え間ない攻撃がありました。
2つ目の理由は、ラテンアメリカがサイバー犯罪者にとって宝の山であることです。近年の大きな経済成長、主な産業のデジタル化とともに、不十分なサイバー保険、実質的に存在しないに等しい規制などが特徴的です。
COVID-19パンデミック以前にも、ブラジルとメキシコは欧州刑事警察機構が発表した被害国トップ10に入っていました。それ以後も、事件数は急激に増大し、多くの企業は準備が整わないまま、政府当局からのサポートや圧力の少なさに直面しています。驚くべきことに、推定80億ドルもの損失を被ったにも関わらず、ブラジルにはまだデータ保護法が制定されていません。
金銭目的の犯罪に加えて、ラテンアメリカ地域はロシア、中国、イランに支援されたグループにも狙われています。サイバースパイ活動は投資や商取引において交渉を有利にし、対外利権を拡大するための方法として使われています。
さらに、犯罪者の世界のサプライチェーンがパンデミックによる影響を受けた結果、犯罪組織がデジタル世界、特に詐欺やフィッシングなどを収入源として利用し始めるでしょう。メキシコの悪名高いドラッグカルテル、La Familia Michoacanaもダークウェブのハッカー達を引き入れ始めたと言われています。
ラテンアメリカ地域が多数の脅威に直面しているにも関わらず、さまざまな組織への防御技術の導入は遅れがちでした。したがって、以下の事例においてこの攻撃者がラテンアメリカ地域の小規模な組織を選んだとき、そこにあるのはシグネチャベースの、従来型セキュリティツールだけだと考えていたことでしょう。これはほとんど抵抗もなく大きな利益が見込まれる簡単な獲物と思っていた攻撃者は最初のステップを実行しました。
侵入の経緯
その会社においてProof of Valueトライアルが実施されていたDarktraceは、サーバーから不審なアクティビティを検知し、続いて外部リモート接続を観測しました。
図1:攻撃のタイムライン
攻撃が開始されたのは、内部サーバーがRDPを介して外部IPから不審な接続を受信したときでした。この接続は5時間に渡り継続しました。この外部IPはこのサーバーに対し、管理者認証情報を使って新しいSMBセッションを確立しました。外部IPはSMBを使って、暗号化されていないパスワードが含まれていそうな1つのファイルにアクセスしました。
その後、外部IPはSMBを介して18,000個を超えるファイルをダウンロードしました。ファイル名から見て、これらのデータは機密性が高いものであったと思われます。この外部IPは社内のサーバーから合わせて約150 MBものデータをダウンロードしました。
リモート接続後の不審なアクティビティ
自己学習型AIはこのIPアドレスがこの組織とサーバーにとって100%未知であることを検知しました。また、このデータ転送もデバイスの通常の「生活パターン」に照らして不審であることが検知されました。残念なことに、Antigenaはパッシブモードで試用中であったため、Darktraceが介入して攻撃を中断させることはできませんでした。
しかし、Darktraceは確度の高い多数のアラートを生成してセキュリティチームに警告しました。以下の図は、同じ状況にあったサンプルデバイスからの5日間のアクティビティを示したものですが、クラスター化したアラートが大量に確認できます。これには、侵害されたデバイスから外部に転送されたデータ量の不審な増大も反映されています。
図2:類似のデバイスがリモートデスクトップ接続を受信。これは最初のモデル違反(オレンジ色の点)が示しています。その直後、外部デバイスが暗号化されていないパスワードファイルにアクセスしました。同時にこのデバイスは、通常は見られない大量のデータを未知の外部ソースIPに転送しました。
データ抜き出し手法:RDPおよびパスワードファイルへのアクセス
脅威アクターはその会社内の既存のセキュリティ製品をすべて回避することに成功していました。それが可能であったのは正当な管理者認証情報を使ったためであり、これはRDPおよびSMB接続の確立にも使用されました。RDP 認証情報はダークウェブで簡単に購入 することができ、特にリモートワークが続いている今年は初期アクセスの方法としてよく使われています。
これに加えて、パスワードの不適切な管理によりその組織のデジタル王国への鍵が開かれることもあります。アクセスされたファイルの1つはパスワードファイルであったため、脅威アクターはすぐに権限を引き上げることができました。この段階になると、侵入のスピードに対応できるのはAIを使った防御ツールだけになります。
SMBのような一般的なプロトコルを使ってデータを抜き出すことはよくある戦術です。攻撃者はオープンなポート、未使用ポートを悪用するため、インターネットに接続されたサーバーは組織にとって大きなリスクです。
さらに、この間に転送されたファイルはパートナー企業や顧客の名前の付けられた領収証として保存されていたものでした。これはきわめて危険でありこの会社の信用を深刻な危険にさらす可能性がありました。幸い、自己学習型AIが悪意あるアクションを検知し即座にセキュリティチームに警告したため、彼らはさらなる抜き出しを阻止しフォローアップを行うことができました。
機密データの保護
上記の事例は、非常に小規模な企業であっても被害者になることがあることを示しています。中小企業が標的とされるのは、重要なデータやIPを保有しているにもかかわらず、強力なセキュリティやリソースが欠けている場合があるからです。このことから、大規模な企業や政府機関と比較して簡単な獲物になり得ます。
DarktraceのAIは動作のかすかな変化から悪意あるデータ抜き出しを検知する能力を持っています。 このケースでは、標的とされたサーバーは日常的に組織の内外とデータの転送を行っていましたが、Darktraceはこの攻撃における外部IPからの着信接続を最も高い未知度でスコア付けしました。つまり、Darktraceはこのデータ転送アクティビティが普段と大きく異なるものであり、サーバーの通常の「生活パターン」から外れていると見なしたのです。
これにより、セキュリティチームはこの脅威に対応しサーバーをオフラインにして詳細な調査を行うことができました。もしこの環境内でDarktrace Antigenaがアクティブモードで運用されていれば、最初の侵害から数秒後に反応しマシンスピードで脅威を阻止していたはずです。
上記の調査結果についての考察はDarktraceアナリストKendra Gonzalez Duranが協力しました。
データ抜き出しおよび悪意のある内部関係者から会社を守る方法について知る
Darktrace によるモデル検知結果:
- Compliance / Incoming Remote Desktop
- Compliance / Possible Unencrypted Password File On Server
- Anomalous Connection/ Data Sent to Rare Domain
観測されたMITRE ATT&CKテクニック:
| Initial Access | T1078 – Valid Accounts |
| Credential Access | T1552.001 – Unsecured Credentials: Credentials In Files |
| Exfiltration | T1048.003 – Exfiltrate Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol |
