自己学習型AIがサプライチェーン攻撃からMcLaren Racingを保護
McLaren Racingはこれまで数多くの高価値かつ革新的なパートナーシップを築いてきた実績があります。これらのパートナーシップやサプライチェーンを構成する幅広い組織網がなければ、私達がここまで来ることはできなかったでしょう。
図1:McLarenの2021年モデルの各種コンポーネントの供給元
McLarenのフォーミュラ1マシンの各部品(エンジン、タイヤ、ブレーキ、サスペンションなど)の背後には、最初に発明されたR&Dラボから、製造された工場、そして必要なところにそれらを届ける輸送やロジスティクスを含め、長く複雑なストーリーがあります。
組織全体を見れば、それはさらに複雑になります。ITハードウェアとソフトウェア、テレメトリー、データ解析ツール、それら一つ一つがMcLaren Racingのエコシステムを構成する重要なコンポーネントです。これがなければ、私達は最高の状態で機能できません。
しかしセキュリティの視点から見ると、年々凶暴化しているサイバー脅威環境において、これらすべてがチームの鎧の隙間となる可能性があります。今年SolarWindsハックやKaseyaソフトウェアのエクスプロイトなどで見られたように、攻撃者達はサプライチェーンが大きなチャンスであるという事実に気づき始めています。
1社のサプライヤーが何千もの組織に対するエントリポイントとなる可能性があるのです。サイバー犯罪者にとって、侵害に一度成功するだけで、より多くのアクセス、より多くのデータへのアクセスに繋がり、最終的により大きな利益に繋がることを意味します。
McLaren Racingはサイバーセキュリティ環境の最近の変化を切実に感じています。私達に対するサイバー攻撃が成功した場合、レースの成績だけでなく、より広範な当社の評判にも影響します。昨年、私達はDarktraceの自己学習型AIテクノロジーを使った新しい防御ラインを導入しました。このテクノロジーは私達の業務をゼロから学習し、かすかな、動きの速いサイバー攻撃を、サプライチェーンも含めその発生場所に関わらず遮断します。
脅威検知結果:Eメール受信箱からの攻撃
この攻撃では、システマティックなフィッシング攻撃により12名の従業員が標的とされ、彼らは長年の取引実績のあるチームサプライヤーからEメールを受信し、それは彼らへのボイスメールがあることを知らせるものでした。
図2:受信者にクリックさせようとするフィッシングEメールの一部
ボイスメールを再生するリンクをクリックすると、一見本物らしいボイスメールサービスのサイトが表示されます。
メッセージにアクセスするリンクに従って操作すると、このサイトは Office 365 認証情報の入力を求めました。これはMcLaren Racing の環境にアクセスするための認証情報を詐取しようとするものでした。
図3:偽のログインページ
12名の受信者には、チームのテクニカルディレクターや購買管理者など何名かの主要な人物も含まれていました。このフィッシング攻撃の背後にいた攻撃者達は疑いなく、これらの人物を彼らの承認権限と、機密データへのアクセス権を持っている可能性から選んだものと思われます。
これらのアカウントがもし侵害されていたら、攻撃者達は最も機密性の高い知的財産、財務情報およびレーシングについてのエグゼクティブレベルの戦略などにアクセスできていたでしょう。
DarktraceのEメールセキュリティテクノロジーであるAntigena EmailはこれらのEメールの着信と同時に内容を評価し、いくつかの不審な攻撃の兆候を識別しました。アカウントはMcLarenのよく知る相手であることを識別しましたが、これをサプライヤーから送信された以前のEメールと比較し、いくつかのリスクインジケータを見つけました。Darktrace Antigenaは自律的に判断してこれらのEメールがユーザーに配信されないよう保留しました。
The anomaly score assigned to this email was unusually high for the organization [redacted]. One of the contributing factors was an unusual link to [redacted].
The email contains a highly suspicious link to a host [redacted]. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading LISTEN/PLAY VOICEMESSAGE. An inducement score of 84% suggests the sender is trying to induce the user into clicking.
The email exhibited an anomaly score of 100% and was held from the user’s inbox.
図4:Antigena Email はEメールがなぜ疑わしいのか、および実行したアクションについて簡単な言葉で説明
チームとサプライヤーの間の本物のやりとりは中断なく続いており、その間もDarktrace Antigenaが各Eメールのリスクインジケータを評価していました。翌日、チーム内にいたこのサプライヤーのアカウントマネージャーが、彼の会社内のアカウントの1つが侵害され一部の顧客にフィッシングEメールを送信していることを知らせるメールを受け取りました。これにより、Antigena EmailがこれらのEメールを悪意あるものとして正しく判定していたことが確認されました。
従来のEメールセキュリティツールは過去の攻撃データを使って敵と味方を区別していましたが、これは悪意あるEメールドメインやURLが以前に遭遇したものである場合にのみ有効です。今回のケースでは、従来のフィルタリングはEメールの通過を許しました。Darktraceの持つ「自己」の理解とAutonomous Responseがあったことが、今回McLarenがこのリスクへの露出を回避できた唯一の理由です。
このことはセキュリティチームが気づいたより広範なパターンを反映しています。Darktrace は、Antigena Emailが捕捉したEメールのうち40%は他のセキュリティツールで検知できたであろうことを示しています。つまりDarktraceは悪意あるEメールの残りの60%を検知しており、アクションを実行して私達を24時間、週7日保護しているのです。
今回の事例はMcLarenが受けたEメールに対する攻撃のほんの1例に過ぎません。別の事例では、スポンサーを装ったEメールをAntigena Emailが検知しました。このEメールはMcLaren Racingのシニアレベルの人物に対してパスワードのリセットを要求し、認証情報を詐取しようとする疑わしいリンクが含まれていました。このケースでも、AntigenaはEメール着信と同時にアクションを実行し、社内のサイバーチームは対処の必要がありませんでしたが、そうでなければ深刻なインシデントとなっていたかも知れません。Darktraceがこうした自律的アクションを日々取ってくれるからこそ私達はより高価値な仕事に時間を使い、チーム全体の成功を推進することができるのです。
サプライチェーンがセキュリティに対する新しいアプローチを必要とする理由
今日のデジタル化した世界では、Eメールからファイル共有サービス、そしてクラウドを通じて提供されるテクノロジーパートナーまで、あらゆるレベルでサプライヤーやパートナーとの連携無くして、流動的かつ動的な組織として機能することはできません。McLarenが成長し世界をリードするさまざまな組織と協力してパフォーマンスを向上させるなかでサプライチェーンエコシステムは拡大する一方です。
攻撃者達がサプライヤーを狙うのは、何十、何百もの扉を開けられるかもしれない単一の鍵を表すからであり、Eメールは攻撃経路の1つにすぎません。Darktraceとのパートナーシップにより、McLarenはEメールシステム、クラウドサービス、コーポレートネットワーク全体で、自己学習型防御の価値を日々体験しています。
サプライヤーからのEメールにしろ、その他のコミュニケーション手段にしろ、キーボードの向こう側に誰がいるのか確信することはできません。しかし既存のセキュリティツールの多くはこれを信じてしまいます。静的なルールやシグネチャでは真の敵と味方を区別しアカウント乗っ取りや侵害されたシステムを特定することはできないのです。現代の組織は幅広いインジケータを分析して脅威を示すかすかな逸脱を明らかにすることにより、サプライヤーからの潜在的に悪意あるアクティビティを識別できるソリューションを必要としており、自己学習型AIはこの領域でまさに強みを発揮するのです。
