テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

内部関係者からの脅威、サプライチェーン、IoT:現代のサイバー攻撃を解剖:

Brianna Leddy, Director of Analysis

それは金曜日、午後5時10分前のことでした。技術者がいつも通り電子ドアのチェックを行います。彼女は問題なくオフィスに入室します。彼女は信頼のおける外部ベンダーの技術者で、従業員も毎週彼女の姿を見ています。彼女はラップトップを開き、ドアアクセス制御ユニットに接続します。これはスマートロックを操作するための小型のIoTデバイスです。数分後、トロイの木馬が社内のネットワークにダウンロードされ、クリプトマイニングが開始し、機密データが抜き取られた証拠もありました。どこで問題が起こったのでしょうか?

ビジネス内の脅威:新たな夜明け

企業がデジタル変革のさまざまな要求に対応していくなかで、アタックサーフェスはかつてなく広がっています。IoTエコシステム内の脆弱性から、サプライチェーン内のブラインドスポット、そしてビジネスへのアクセスを悪用する内部関係者に至るまで、サイバー犯罪者達にとっての入口は無数に存在します。Darktraceはこうした脅威を日々目撃しています。本ブログで解説する上記の事例のように、同じ攻撃内に複数の要素が含まれていることもあります。

内部関係者による脅威は、彼らのシステムに対する知識とアクセスのレベルを、検知を回避し攻撃を開始する上での決定的なアドバンテージとして使用します。しかし、内部関係者による脅威は必ずしも悪意があるとは限りません。あらゆる従業員または請負業者は潜在的な脅威です。フィッシングのリンクをクリックしたり、誤ってデータを送信してしまったりすることで、広範囲の侵害につながることがよくあります。

同時に、多数のIoTデバイスが固有のIPアドレスを持ってコーポレートネットワークやインターネットに接続している、職場内の接続環境は喫緊のセキュリティ課題です。たとえば、アクセス制御システムは、オフィスに誰がいつ入室するかを追跡し物理的なセキュリティのレイヤを追加するものです。しかし、この制御システム自体がデジタルセキュリティを危険にさらすことになるのです。システムには多数のセンサー、ロック、アラームシステム、キーパッドなどが付属し、これらが機密性が高いユーザー情報を持ち社内のインフラにアクセスします。

さらに、かなりの割合のIoTデバイスが、セキュリティを考慮せずに作られています。ベンダーは市場投入までの期間を優先し、多くの場合セキュリティ対策を組み込むために費やすリソースを持っていません。IoTを製造するスタートアップ企業の数を考えてみてください。 60%以上 のホームオートメーション製品企業は従業員が10名未満です。

内部関係者からの脅威をCyber AIが検知

2021年1月、中規模の北米の企業がサプライチェーン攻撃に遭いました。それはサードパーティベンダーがスマートドアの制御ユニットに接続したときに発生しました。

図1:攻撃は現地時間16:50に開始され、3.5時間継続しました。

メーカーの技術者が定期的なメンテナンスのために来社しました。彼らはドアアクセス制御ユニットに直接接続する権限を持っていました。しかし、彼らが使用していたラップトップ(外部から持ち込まれたもの)がマルウェアに感染していたことを知らなかったのです。

ラップトップが制御ユニットに接続されるとすぐに、マルウェアは開いているポートを検知し、脆弱性を発見して水平移動を開始しました。数分のうちに、このIoTデバイスは未知の外部IPアドレスに対するきわめて不審な接続を開始しました。接続はHTTPを使って行われ、疑わしいユーザーエージェントとURIを含んでいました。

Darktraceはその時、この制御ユニットがupsupx2.exe36BB9658.moeを含むトロイの木馬やその他のペイロードをダウンロードしようとしていることを検知しました。他の接続はbase64でエンコードされた、デバイス名と組織の外部IPアドレスを含む文字列を送信するのに使用されました。

その少し後に、Monero (XMR) CPUマイナーを使った暗号通貨のマイニング アクティビティが検知されました。このデバイスはSMBエクスプロイトを使って445番ポートで外部接続を行い、同時に古いSMBv1プロトコルを使っている脆弱な内部デバイスを探しました。

1時間後、このデバイスはサードパーティリモートアクセスツールであるTeamViewerに関連したエンドポイントに接続しました。数分後、デバイスは15 MB以上のデータを100%未知の外部IPに対して送信している様子が見られました。

図2:1つのデバイスのインシデント(青)前後の期間の接続のタイムライン。この侵入に関連した接続はデバイスの通常の生活パターンからの著しい逸脱であり、複数の不審なイベントおよび度重なるモデル違反(オレンジ)につながりました。

サプライチェーン内のセキュリティ脅威

Cyber AIは制御ユニットが侵害されると即座に内部関係者からの脅威について顧客に知らせました。この攻撃は組織内の他のセキュリティスタックをすり抜けることに成功していました。これは信頼される外部のラップトップから直接もたらされたこと、そしてIoTデバイス自体がこのサードパーティベンダーによって管理されていたため、顧客がそれに対してほとんど可視性を持っていなかったという単純な理由によるものです。

従来型のセキュリティツールはこのようなサプライチェーン攻撃には効果がありません。SolarWindsハック からVEC(Vendor Email Compromise)に至るまで、2021年はシグネチャベースのセキュリティに最後のとどめを刺し、昨日の攻撃に依存して明日の脅威を予測することはできない、ということを証明しました。

現代の組織に関わる国際的サプライチェーン、そして各種パートナーやサプライヤーの数の多さは、外部ベンダーをネットワークにアクセスさせつつ、侵入を許さないシステムをどうやって維持することができるかという深刻なセキュリティ上のジレンマを生みます。

最初の答えはゼロトラストアクセスです。これは内部、外部を問わずあらゆるデバイスを悪意あるものとして扱い、あらゆる段階で検証を要求するものです。2つ目の答えは可視性と対処です。セキュリティ製品はクラウドおよびIoTインフラを明確に照らし出し、エンタープライズ内にかすかな異常が発生次第、自律的に反応しなくてはなりません。

IoTに対する調査

DarktraceのCyber AI Analystは、最初の悪意ある実行形式ファイルのダウンロードを含め、攻撃のあらゆる段階を報告しました。

図3:Cyber AI Analystがデバイスの異常な動作を検知した例。C2接続や不審なファイルのダウンロードが行われている。

Cyber AI AnalystはC2接続を調査し、このアクティビティに対するハイレベルなサマリーを提供しました。このIoTデバイスは、ランダムに生成された英数字の名前を持つ不審なMOEファイルにアクセスしていました。

図4:デバイスのC2接続に関するCyber AI Analystのサマリー

AIはアクティビティのあらゆる段階を検知しただけでなく、Proactive Threat Notificationにより顧客に通知を行いました。これは攻撃が開始されてわずか数分後、高いスコアでのモデル違反が発生した16時59分のことでした。

部外者の危険

第三者によるデバイス設定の変更やネットワークの調整は意図せぬ結果を招くことがあります。5Gやインダストリー4.0の登場により著しく接続が進んだ我々の世界は、サイバー犯罪者にとって格好の遊び場となっています。

上記の事例では、IoTはセキュアではなく設定にもミスがありました。IoTエコシステムの性急な構築、入り組んだサプライチェーン、そしてコーポレートインフラに接続する人とデバイスの幅広さにより、今日の組織は事前に定義されたルールに依存する単純なセキュリティツールで内部関係者からの脅威や他の高度なサイバー攻撃を阻止できると期待することはできません。

この組織はドアアクセス制御ユニットの管理状態について可視性を持っていませんでした。それにも関わらず、そして攻撃のタイプやこのIoTデバイスに存在していた脆弱性について事前の知識を持っていなかったにも関わらず、Darktraceは動作の異常を即座に検知しました。Cyber AIを使用していなければ、感染はこの顧客の環境に何週間、何か月も存在しつづけ、権限をエスカレーションし、密かにクリプトマイニングを行い、機密性が高い企業データを抜き出していたかもしれないのです。

上記の脅威検知に対する知見を提供してくれたDarktraceアナリストGrace Carballo 氏に感謝します。

IoC:

IoCコメント
137.175.56[.]104.rar ファイルダウンロードエンドポイント
9b8222887450cb6efeac6d738de5962de9c0e4a3RARファイルのSHA1ハッシュ
087ce02c20903ebe83535f95a8ff2919de732fe1RARファイルのSHA1ハッシュ
65c328dd4da25babe0c8afbca4a0bebf1919899aRARファイルのSHA1ハッシュ
172.83.155[.]170C2 サーバー
172.106.32[.]32C2 サーバーの可能性
45.32.155[.]0C2 サーバーの可能性
/36BB9658.moeHTTP接続で観測されたURI
upsupx2.exeEXE ファイル名
70.39.123[.]18 .exe ファイルダウンロードエンドポイント
104.233.207[.]172 .exe ファイルダウンロードエンドポイント

Darktrace によるモデル検知結果:

  • Anomalous File/Anomalous Octet Stream
  • Anomalous Connection/New User Agent to IP Without Hostname
  • Unusual Activity/Unusual External Connectivity
  • Device/Increased External Connectivity
  • Anomalous Server Activity/Outgoing from Server
  • Device/New User Agent and New IP
  • Compliance/Cryptocurrency Mining Activity
  • Compliance/External Windows Connectivity
  • Anomalous File/Multiple EXE from Rare External Locations
  • Anomalous File/EXE from Rare External Location
  • Device/Large Number of Model Breaches
  • Anomalous File/Internet Facing System File Download
  • Device/Initial Breach Chain Compromise
  • Device/SMB Session Bruteforce
  • Device/Network Scan- Low Anomaly Score
  • Device/Large Number of Connections to New Endpoint
  • Anomalous Server Activity/Outgoing from Server
  • Compromise/Beacon to Young Endpoint
  • Anomalous Server Activity/Rare External from Server
  • Device/Multiple C2 Model Breaches
  • Compliance/Remote Management Tool on Server
  • Anomalous Connection/Data Sent to New External Device

Brianna Leddy

Based in San Francisco, Brianna is Director of Analysis at Darktrace. She joined the analyst team in 2016 and has since advised a wide range of enterprise customers on advanced threat hunting and leveraging Self-Learning AI for detection and response. Brianna works closely with the Darktrace SOC team to proactively alert customers to emerging threats and investigate unusual behavior in enterprise environments. Brianna holds a Bachelor’s degree in Chemical Engineering from Carnegie Mellon University.