インシデント発生から封じ込めへ、そしてビジネスの生産性の向上へ

ウィズセキュアは、どのようなステージでどのようなサービスを提供しているのか

ws_woman_on_laptop_in_server_room_hero
Reading time: 30 min

    Published

  • 03/2023

自動化されたセキュリティ対応は、時として数ミリ秒にまで短縮された圧倒的なレスポンスタイムを実現できることがあります。しかし、これにより新たな問題が発生するため、必ずしも迅速な対応が狡猾な攻撃者を排除する最善策になるとは限りません。以下に、ウィズセキュアの様々なチームが集結して、インシデントの発生から復旧、ビジネスの生産性向上に至るまで、どのように対処したのかを示す最近の実例をご紹介します

発見と調査

顧客企業は、ネットワーク内のファイルが暗号化されたことに気付き、何が起こったのかを調査するために社内のSOCチームに連絡しました。12時間後、自社ネットワークを広範なインターネットから切り離す決断を下し、ウィズセキュアのインシデント対応チームを迎え入れ、調査の指揮を依頼しました。

ウィズセキュアのインシデント対応部門のグローバル責任者であるJohn Rogers(ジョン・ロジャース)は次のように述べています。「お客様は、マシンに不審な動作や奇妙なファイルが数多く存在することに気付き、自社のSOCチームと共に調査しましたが、あまりうまくいかなかったため我々に助けを求めてきました。お客様は、この問題が重要なビジネス・アプリケーションに影響を及ぼしていることを懸念していました」

当社のインシデント対応チームは調査を開始し、ランサムウェアの証拠を発見しました。彼らは、サンプルのマルウェア解析を依頼するため、脅威インテリジェンスチームと戦略防衛チームに連絡を取りました。

「最初に、攻撃による影響の拡大を防ぐために、お客様への初期対応として封じ込め措置を実行しました。そして、バックアップが感染していないことを明らかにする仕組みを考案しました。マルウェアのコピーを手に入れて、脅威インテリジェンスチームにサンプルを渡し、リバースエンジニアリングを依頼すると共に、お客様の事業継続戦略の支援を続けました」 

マルウェアを解剖し、攻撃者を理解する

脅威インテリジェンスチームは、自らの知識を駆使してマルウェアファミリーを特定し、既知のツール、手法、手順に関する情報を共有しました。この中には、お客様が三重の恐喝の犠牲者になることを示唆する情報も含まれていました。  

ウィズセキュアの脅威リサーチャーの1人は次のように述べています。「インシデント対応コンサルタントや脅威ハンターは、発見した高度なマルウェアを完全に分析しきれない場合、いつも私たちに支援を求めてきます。私たちには、マルウェアのサンプルをリバースエンジニアリングして分析するための高いスキルを有しているからです」

インシデント対応チームは、お客様のマシンでカスタムバイナリを発見して、脅威インテリジェンスチームに送信しました。そして、構成がカスタマイズされた既知のランサムウェアサンプルであることを突き止めました。脅威インテリジェンスチームがサンプルを解析したところ、マルウェアの背後にいるのは、データを窃取したり、DoS攻撃を仕掛けることで知られている脅威グループであることが確認されました。この調査結果は、IRコンサルタントにフィードバックされました。

この貴重な情報の意味を理解したお客様は、外部境界を見直し、脅威を軽減するためにDDoS保護機能を実装することを決断しました。

しかし、それでもまだアプリケーションにセキュリティ上の脆弱性があることを懸念していました。

 

DDoS攻撃の脅威を軽減する

お客様は、悪名高いDoSの脅威から境界を守るために、自社のアプリケーションをDDoS保護サービスの背後に移したいと考えていました。しかし、アプリケーションの根本的な脆弱性を特定する方法がありませんでした。

ウィズセキュアのAttack Surface Management(ASM:攻撃対象領域管理)チームは、脆弱性を探し始め、数時間以内に最初の脆弱性を見つけました。その後の数日間で、古いサービスに潜むDoSリスクを次々と発見していきました。この情報はリアルタイムでお客様に伝えられ、脆弱性に優先順位をつけて迅速に修復することができたのです。   

ウィズセキュアのセキュリティコンサルタントでASMチームの中核メンバーであるKatie Inns (ケイティ・インズ) は、次のように述べています。「私たちは、約350のドメインに明らかなDDoSの脆弱性があるか調査するよう依頼されました。そのうちの35は優先度が高いと判断しました。通常の脆弱性スキャンを実行するようなアプローチを採りましたが、同時に、他の潜在的な侵入口を見つけるために手動テストを行うことを決め、公開されたユーザー名とパスワード、およびリモートデスクトップなどの悪用可能なサービスを探しました。そして発見次第お客様に報告し、修復できるようにしました」 

同じくASMチームのセキュリティコンサルタントであるJake Knott (ジェイク・ノット)は、次のように説明しています。「私は、DoSの脆弱性とプライマリドメインの問題をすべて特定するために参加しましたが、発見する作業中に、1つのドメイン内にさらに230のターゲットを見つけました。私は、あえて新しいDDoS保護サービスの背後にある資産を特定し、お客様がセキュリティ強化策の一環として資産をどこまで保護できているか確認しようと試みました。

「とても興味深かったのは、DDoS保護サービスを回避している手口が分かったことでした。つまり、もし我々が悪意のあるアクターであれば、これらの資産を脅かすことができたということです。私たちは直ちにこの問題を提起したので、お客様は解決に向け行動を起こすことができました」 

XDRへの切り替え


IRチームは当社のマネージドサービスCounterceptサービスを導入し、お客様と協力して脅威を封じ込め、排除することができました。

「最初の攻撃がほとんど気づかれずに行われたことから、社内の環境内で休眠状態にあるマルウェアを迅速に調査して封じ込めるために、さらに可視性を高める必要がありました」とRogersは語っています。「この課題については、Countercept サービスが導入されたことで、IRチームは継続して調査できるようになりました」

ウィズセキュアの脅威ハンターチームは、新しい環境の監視を開始しましたが、特に脅威インテリジェンスチームが特定してくれた侵害に対する痕跡を探しました。

脅威ハンターの1人は次のように説明しています。「私たちは通常、進行中のインシデントへの対応を3つの行動でサポートしています。まず、脅威アクターのアクションをトリアージし、TTP(ツール、手法、手順)を明らかにすると同時に、侵害の痕跡を特定します。次に、脅威アクターの進捗状況を評価します。つまり、攻撃者の足跡を隅々まで追跡することで侵害の全容をつかむのです。インシデント対応のシナリオが進むと、攻撃者のすべての行動を観察していることが確信できるため、お客様に適切なアドバイスをすることができます。最後に、脅威アクターが再び戻ってくるかどうかを継続的に監視し、もし検知された場合は直ちに対応できるようにしています」

過去に遡ることで先手を打つ

インシデント対応チームは、環境内での攻撃の進行状況を想定したタイムラインを作成しました。また、データ搾取の兆候も探しましたが、結局何も見つかりませんでした。

「脅威インテリジェンスチームとインシデント対応チームの両方から得られた調査結果を基にして、感染したホストを封じ込め、環境内で攻撃が展開された状況を把握することができました」と、Rogers は述べています。

「次に、お客様から提供された証拠とリモートで得られた証拠に基づいて、攻撃がどのように行われたかを詳細に示すイベントの完全なタイムラインを作成しまし、これが重要な情報になりました。攻撃者がネットワーク上で行ったことを完全に理解し、考えられるすべての被害を軽減したことを確認する必要があったからです。また、データ摂取の兆候を特定したいとも考えていました」 

インシデント対応チームは、侵害の根本原因を確認した上で、Citrix経由で認証するユーザーアカウントへの不審な行動を追跡しました。

「タイムラインを使うことで最初の感染経路を発見することができました。攻撃者は、従業員のリモート作業用のCitrixポータルを介して環境へアクセスしていました」とRogersは語っています。「このポータルには、セキュリティ脆弱性に対してパッチが適用されていましたが、攻撃者はデータダンプから資格情報を盗み出したのです。この点は、後になって脅威インテリジェンスチームによって確認できました」

 

リカバリとハードニング

攻撃は封じ込められ、ディザスタリカバリサイトが稼働し始め、お客様は大規模なハードニングとリカバリのプロジェクトを開始しました。ウィズセキュアのインシデント対応、脅威インテリジェンス、ASM、脅威ハンターの各チームが一丸となって攻撃の封じ込めに成功し、短期的には脅威アクターによるさらなる活動からお客様を守りつつ、改善の取り組みを開始することができました。

このインシデントで示されたダイナミックで自発的なチームワークこそが、ウィズセキュアの典型的な働き方です。ウィズセキュアは、全社を通して非常に広範なスキルセットと専門知識を備えているため、お客様が直面しているあらゆる問題に支援の手を差し伸べることができます。

このインシデントにおけるタイムラインは、コラボレーションがうまく機能した好例と言えるでしょう。

今回携わったチームについてもっと知る

インシデント対応

WithSecureのサイバーセキュリティエキスパートは、最先端のインシデント対応ソフトウェアとソリューションによって、サイバーセキュリティインシデントに対してプロアクティブに準備し対策することができます。

Read more

Attack Surface Management

Go cyber security threat hunting with WithSecure™ ASM, a human led managed cyber security service to understand weaknesses and harden your perimeter.

Read more

脅威リサーチ

WithSecure™の専門研究者は、電子メールの脅威からデータ漏洩まで、サイバーセキュリティの最先端の脅威に取り組み、無料の攻撃・防御ツールを作成しています。

Read more