テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

AIがランサムウェアから重要インフラを保護

David Masson, Director of Enterprise Security | 2021年5月13日木曜日

2021年のRSAサイバーセキュリティカンファレンスにおいて、米国国土安全保障長官アレハンドロ・マヨルカス氏から、サイバーセキュリティ環境についてこの時代を定義する発言がありました:「はっきり言います。ランサムウェアは今や国家安全保障上の危機です。」

先週末、マヨルカス長官の言葉は現実となりました。米国東海岸のディーゼル、ガソリン、ジェット燃料の半分近くを担うColonial Pipelineに対するランサムウェア攻撃は、東海岸の多くの州に供給する重要な燃料ネットワークのシャットダウンを招きました。

この攻撃の影響は、ランサムウェアがもたらす結果がどれほど広範で被害の大きいものとなるかを証明しました。重要インフラに対し、サイバー攻撃は供給を中断し、環境を破壊し、場合によっては人命にかかわる危険性も持っています。

詳細な情報はまだ確認されていない部分もありますが、この攻撃はDarkSideと呼ばれるサイバー犯罪者の関連組織が実行したものと報じられており、おそらく一般的なリモートデスクトップツールを使ったとされています。リモートアクセスは、ICS(Industrial Control SystemsおよびOT(Operational Technology)を含む多くの組織が昨年行ったリモートワークへのシフトにより、重要インフラ内の悪用可能な脆弱性となりました。

産業用ランサムウェアの台頭

産業用環境を標的としたランサムウェアは増えつつあり、2018年以降500%増加しているという報告があります。多くの場合、これらの脅威はITとOTの統合を利用し、まずITを標的としてからOTに転回していきます。ICSプロセスを「キルリスト」に含めていたEKANS ランサムウェア、ならびに最初にVPN(Virtual Private Network)の脆弱性を悪用してからICSに侵入したCring ランサムウェアでもそうした様子が見られました。

Colonial Pipelineへの侵害の最初の攻撃ベクトルが技術的な脆弱性をエクスプロイトしたものか、認証情報の流出があったのか、あるいは標的型スピアフィッシングであったのかはまだ明らかになっていません。攻撃は最初にITシステムに影響し、安全のための予防措置としてColonialがOTオペレーションをシャットダウンしたということが報じられています。Colonial はランサムウェアが「一時的にすべてのパイプライン操業を停止させ、ITシステムの一部に影響した」ことを確認しており、最終的にOTとITの両方が影響を受けたことがわかります。これは多くのOTシステムがITシステムに依存しており、ITサイバー攻撃がOTやICSプロセスをダウンさせることができるということを非常によく表している例です。

システムをダウンさせることに加えて、脅威アクターはColonialから100GBもの機密データを盗みました。ファイルの暗号化前にデータ抜き出しが行われるというこの種の二重恐喝攻撃は、残念ながら例外というよりも標準となっており、ランサムウェア攻撃の70%以上 にはデータ抜き出しも含まれています。一部のランサムウェアギャングは暗号化を丸ごと放棄 しデータ盗み出しと恐喝の手法を選択しています。

今年初め、Darktraceは重要インフラ企業に対する二重恐喝ランサムウェア攻撃を阻止しましたが、これには一般的なリモートアクセスツールが使用されていました。このブログでは発見された脅威を詳しく解説し、Darktraceの自己学習型AIがColonial Pipeline インシデントに非常によく似た攻撃に自律的に対処した事例を紹介します。

Darktraceによる脅威の発見

電力機器サプライヤーを標的としたランサムウェア

今年初めに発生した北米の電力機器サプライヤーに対する攻撃において、 DarktraceのIndustrial Immune System はICSとOTを持つ組織を標的とした二重恐喝ランサムウェアから重要インフラを保護する能力を実証しました。

このランサムウェアは最初にITシステムを標的としましたが、自己学習型Cyber AIにより、OTシステムに拡大し業務を中断させる前に阻止されました。

12時間の間に、攻撃者はまず内部サーバーに侵入し、データを盗み出してランサムウェアを展開しようとしました。最初の侵入から展開までの時間が短いことは珍しいと言えます。ランサムウェア脅威アクターは多くの場合、できるだけ目立たずに数日間かけてサイバーエコシステム内を可能な限り広範囲に拡散してから攻撃するからです。

図1:攻撃のタイムライン

攻撃は他のセキュリティスタックをどのようにすり抜けたか?

攻撃者は ‘Living off the Land’ (環境に寄生する)テクニックでこの会社の通常の「生活パターン」に溶け込もうとしました。盗んだ管理者認証情報と会社で認められたリモート管理ツールを使い、検知を免れようとしたのです。

Darktraceは正統なリモート管理ソフトウェアが攻撃者のTTP(戦術、テクニック、手順)で悪用される事例を数多く観測しています。リモートアクセスは特にICS攻撃において一般的になりつつある攻撃ベクトルでもあります。たとえば、2月に発生したフロリダの水処理施設でのサイバーインシデントでは、攻撃者はリモート管理ツールを使って水処理のプロセスを操作しようとしました。

この攻撃者が使った種類のランサムウェアは、ファイルを暗号化する際独自のファイル拡張子を使うことによってアンチウィルスソフトの検知を回避することに成功しています。こうした形の「シグネチャのない」ランサムウェアは、ルール、シグネチャ、脅威フィード、およびCVE(Common Vulnerabilities and Exposures)リストに依存する従来のアプローチを簡単にすり抜けます。これらの手法は過去に文書化された脅威しか検知できないからです。

シグネチャのないランサムウェアなど以前に見られたことのない脅威を検知する唯一の方法は、「既知の悪」のリストに頼ることではなく、異常な動作を見つけることです。これは組織内のあらゆるデバイス、ユーザー、コントローラ、およびそれらの間のすべての接続についての通常の「生活パターン」からのごくわずかな逸脱も見つけることができる自己学習型テクノロジーによって可能になります。

Darktraceの考察

最初の侵入と足掛かりの確立

正統なツールが悪用され、既知のシグネチャが存在していなかったにもかかわらず、DarktraceのIndustrial Immune Systemは正常なアクティビティについてのホリスティックな理解を使用して悪意あるアクティビティを攻撃ライフサイクルの複数のポイントで検知することができました。

Darktraceがアラートした、脅威の発生を示す最初の明確な兆候は、特権的認証情報の不審な使用でした。このデバイスはさらに、インシデントの直前にVeeamサーバーから不審なRDP(Remote Desktop Protocol)接続を受けており、攻撃者がネットワークの別の場所から水平移動してきた可能性を示しています。

3分後、このデバイスはリモート管理セッションを開始し、それは21時間続きました。これにより攻撃者は従来型の防御からは検知されないまま、サイバーエコシステム内を幅広く移動することができました。しかし、Darktraceは攻撃を示すさらなる早期の前触れとして、この不審なリモート管理の使用を検知していました。

二重脅威パート1:データ抜き出し

最初の侵入から1時間後、Darktraceは不審な量のデータが100%未知のクラウドストレージソリューション、pCloudに送信されていることを検知しました。送信されたデータはSSLを使って暗号化されていましたが、Darktraceはこのデバイスの通常の「生活パターン」からの著しい逸脱である大量の内部ダウンロードおよび外部アップロードに関連して複数のアラートを生成しました。

デバイスは9時間に渡ってデータの抜き出しを続けました。このデバイスにより暗号化されていないSMBプロトコルを使ってダウンロードされたファイルを分析したところ、これらは機密性が高いものであることを示唆していました。幸いなことに、Darktraceは抜き出されたファイルをピンポイントで特定することができたため、顧客は侵害の潜在的影響を即座に評価することができました。

二重脅威パート2:ファイル暗号化

そのすぐ後、現地時間1時49分 に、侵害されたデバイスはSharePointバックアップ共有ドライブでファイルを暗号化し始めました。その後3.5時間に渡り、デバイスは13,000個以上のファイルを少なくとも20個のSMB共有上で暗号化しました。Darktraceは問題のデバイスに対して合計で23個のアラートを生成し、それらは24時間に生成されたすべてのアラートの48%を占めていました。

DarktraceのCyber AI Analyst はその後自動的に調査を開始し、内部のファイル転送とSMB上のファイル暗号化を特定しました。ここからCyber AI Analystはインシデントレポートを作成し、個別の異常の点と点をつなぎ合わせ、これらを明快なセキュリティ上の経緯説明にまとめました。これにより、セキュリティチームは即座に是正のためのアクションを取る体制ができました。

この顧客がDarktraceの自動対処テクノロジーであるAntigena Networkを使用していれば、大量のデータが抜き出されたりファイルが暗号化されたりする前にこれらのアクティビティが阻止されていたことは疑いありません。幸い、アラートとCyber AI Analystのレポートを見たこの顧客はDarktraceのAsk the Expert (ATE) サービスを使って、攻撃の影響を緩和するためのインシデント対応と被害復旧についての支援を受けることができました。

図2:DarktraceのCyber AI Analystが検知した異常な暗号化とICS管理者接続の疑わしい一連の利用の例

重要インフラが停止させられる前に脅威を検知

標的となったサプライヤーはOTを管理しており重要インフラ分野に密接な関係を持っていました。早期段階での対応を促進することにより、Darktraceはランサムウェアが製造現場にまで拡散するのを防ぐことができました。重要な点として、Darktraceは業務の中断も最小化し、攻撃によって起こったかもしれないドミノ効果を避けることができました。攻撃によりこのサプライヤーだけでなく、サプライヤーがサポートする電力設備にも影響が及ぶ恐れがあったのです。

最近のColonial Pipelineインシデントや上記の脅威検知結果が示している通り、パイプラインから電力グリッドおよびそのサプライヤーに至るまで、あらゆる形態の重要インフラに対する産業用環境を管理している組織にとってランサムウェアは切実な悩みです。自己学習型AIにより、リアルタイムの脅威検知、自律的調査、そして有効に設定しておけば、的を絞ったマシンスピードの自動対処により、被害が出る前にこれらの脅威ベクトルに対して措置が可能です。

今後の展望:自己学習型AIを使ってあらゆる重要インフラを保護

4月下旬、バイデン政権は「米国の重要インフラを執拗かつ巧妙な脅威から保護する」ための野心的取り組みを発表しました。エネルギー省(DOE)の100日計画 は「電力サイバー可視性、検知、対処能力を電力事業の産業用制御システムに提供する」テクノロジーを求めています。

バイデン政権のサイバー計画は単なるベストプラクティス手法や規制ではなく、重要なエネルギーインフラを保護する テクノロジー を要求しています。上記の脅威事例でも確認されたように、Darktrace AIは教師なし機械学習を活用して重要インフラおよびそのサプライヤーをマシンのスピードおよび精度で自律的に保護する強力なテクノロジーです。

エネルギー省のサイバー計画目標Darktraceの機能
検知、緩和、フォレンジック能力の強化ルール、シグネチャ、CVEのリストを使わずに自己学習型Cyber AIにより、巧妙で新種の攻撃、および内部関係者からの脅威と既に存在していた感染を検知

Cyber AI Analyst によりリアルタイムに提供されるインシデント調査により、アクション可能な情報に基づいて即座に是正を開始

出現しつつある脅威が危機に発展する前に早期に封じ込める
重要なICS(Industrial Control System)およびOT(Operational Technology)においてリアルタイムに近い状況認識および対処機能を可能にするテクノロジーおよびシステムを導入する。自己学習型AIがICS/OTネットワーク内のあらゆる異常なアクティビティを、人間によるものかマシンによるものかを問わず即座に理解、識別および調査

能動的にあるいは人間が確認を行うモードにおいて、適切な場所に脅威を無害化するための的を絞った措置を実行

自己学習型AIはエコシステムの進化に適応し、微調整や人間による入力を必要とすることなくリアルタイムの認識を実現
重要インフラのITネットワークのセキュリティ体制を強化する。セキュリティイベントをコンテキスト化し、新手のテクニックに適応し、調査結果からセキュリティインシデントの経緯をまとめ、これによって数分で措置を取ることが可能

ITおよびOTシステムに対する統一された可視性

高次のPurdueレベルおよびITシステム内の脅威がOTに流れ込む前に検知、調査および対処
ICSおよびOTシステム内の脅威に対する可視性を高めるテクノロジーの導入。「プラグアンドプレイ」環境によりテクノロジーアーキテクチャとシームレスに統合

あらゆるユーザー、デバイス、サブネットを細かいレベルで可視化した3Dネットワークトポロジーを提示

自己学習型アセット識別によりすべてのICS/OTデバイスを継続的にカタログ化

ICSランサムウェア、APT、ゼロデイエクスプロイト、内部関係者からの脅威、既に存在していた感染、DDoS、クリプトマイニング、設定のミス、これまで見られたことのない攻撃など、攻撃の発生を示すあらゆる脅威アクティビティを識別し調査

この脅威についての考察はDarktraceアナリストOakley Cox が協力しました。

Darktrace によるモデル検知結果:

  • 最初の侵入:
    • User / New Admin Credential on Client
  • データ流出:
    • Anomalous Connection / Uncommon 1 GiB Outbound
    • Anomalous Connection / Low and Slow Exfiltration
    • Device / Anomalous SMB Followed by Multiple Model Breaches
    • Anomalous Connection / Download and Upload
  • ファイル暗号化:
    • Compromise / Ransomware / Suspicious SMB Activity
    • Anomalous Connection / SMB Enumeration
    • Device / Anomalous RDP Followed by Multiple Model Breaches
    • Anomalous File / Internal / Additional Extension Appended to SMB File
    • Anomalous Connection / Sustained MIME Type Conversion
    • Anomalous Connection / Suspicious Read Write Ratio
    • Device / Multiple Lateral Movement Model Breaches

David Masson

David Masson is Darktrace’s Director of Enterprise Security, and has over two decades of experience working in fast moving security and intelligence environments in the UK, Canada and worldwide. With skills developed in the civilian, military and diplomatic worlds, he has been influential in the efficient and effective resolution of various unique national security issues. David is an operational solutions expert and has a solid reputation across the UK and Canada for delivery tailored to customer needs. At Darktrace, David advises strategic customers across North America and is also a regular contributor to major international and national media outlets in Canada where he is based. He holds a master’s degree from Edinburgh University.