株式会社
ピーエスアイ

ホーム > 事例紹介 > Darktrace > Darktraceが発見するもの

Darktrace

Darktraceが発見するもの

  • はじめに

    2013年にEnterprise Immune Systemを発表して以来、Darktraceは世界で1,200件以上の「免疫システム」の導入を達成し、16,000件の「深刻な脅威」を初期の段階で発見しました。Darktraceはこれらの経験から得られたユニークな洞察により、進行中の攻撃や新しい脅威をそれらの目的を達成する前に対処しています。 サイバーセキュリティの傾向はメディアでも盛んに報じられていますが、これはあくまで確認されたものだけにすぎません。
    インシデント対応に基づいた調査では攻撃者の標的について貴重な情報を明らかにしていますが、より長期にわたるサイバー攻撃や内部不正の脅威は見落とされがちです。その理由は明確で、このような脅威があまりにも多くの企業においてまだ気づかれないままだからです。 このレポートでは、実際に発生した4つの事例を紹介し、この12か月の間にDarktraceがインストールされた環境において、発生した脅威や攻撃について解説します。それぞれの事例においても、攻撃には高度な手法や先端技術、特異な戦略が使われており、ヒューリスティックまたはルールベースのソリューションなど従来の手法による検出は不可能でした。
    人が行う分析は自ずから限界があります。攻撃者が通常の活動に紛れ込むためのあらゆる方策を駆使する一方で、セキュリティアナリストは目に見える逸脱を手作業で探すことしかできないためです。企業がシグネチャベースのシステムに依存するということは、脅威をもし見つけることができたとしても、その対応の速さは不十分だということを意味します。Verizonの2016年度 Data Breach Investigations Reportによれば、サイバー攻撃を検出するのにかかった平均期間は146日間です。 Darktraceのグローバルな顧客基盤はあらゆる産業分野をカバーしていますが、そこにはいくつかはっきりした傾向が出現しつつあります。一つ目は、企業がIoT(Internet of Things)に対応する中で新しい脆弱性のエリアが発生しているということです。接続された新たなデバイスが増えるにつれ重要ネットワークやデータに対する侵入は増加します。しかし、企業はネットワーク上の見落としがちな場所に対して驚くほど盲目です。二つ目は、内部関係者による脅威が拡大していることです。これらのインシデントは必ずしも悪意のあるものとは限りません。しかし日々の業務プロセスのデジタル化が進むということは、正規のネットワークユーザーであってもデータやシステムを重大な脆弱性にさらす可能性があるということです。 三つ目は、マルウェア作成の微粒化です。すなわち、攻撃者はセキュリティチームが人手で新しい亜種を特定・ブロックするのをはるかに超える速さで悪意あるソフトウェアを生成および拡散できるということです。
    このレポートはDarktraceの自己学習による技術アプローチでどのようなタイプの脅威を発見できるかについて紹介することを目的としています。それぞれの事例では、脅威状況が現在進行中の状態でDarktraceにより異常な動作が特定された様々なケースを紹介しています。ルールやシグネチャ、ネットワークや脅威の状況に関する事前の知識は一切使用されていません。その代わりに、Enterprise Immune Systemは高度な数学理論と機械学習でネットワークの定常時の状態を学びます。その上で、何が普通の状態で何がそうでないかを迅速に理解し、発生しつつある脅威をリアルタイムに検知することにより、鎮静化のための対応を可能にします。

  • dark1.jpg

    1.生体認証制御システムへの侵入

    • 業界: 製造業
    • 侵入ポイント: 指紋スキャナ
    • 見かけ上の目的: 生体認証アクセスキーの改ざん

    2016年2月初旬、Darktraceはいくつかの重要拠点を抱える大手製造企業から相談を受けました。この企業は施設の物理的保護に力を入れ、特定の区域へのアクセスを制限するため指紋スキャナを導入しました。しかし、攻撃者は既知のソフトウェア脆弱性を利用し、スキャナおよびそれに含まれる機密性のユーザー情報へのアクセスに成功しました。この侵入は、攻撃者がネットワークを介して指紋の詳細を送受信し、この企業の施設への不正なアクセスを、望ましくない、危険性のある個人に提供することができたということを意味しています。

    Darktraceの検出結果:

    • Darktraceのインストール直後に、この企業と関係のない外部のコンピューターからスキャナへの不審なTelnet接続が検出されました。
    • この外部サーバーはデフォルトの認証情報を使ってスキャナにアクセスすることに成功し、root権限を使ってCPU情報を取得しました。
    • このサーバーはその後各装置の履歴ファイルの削除を試行していました。
    • さらなる調査を行うと、Telnet 23番ポートでこのスキャナが利用できることがIPデータベースshodan.ioに記録されていることがわかりました。
    指紋スキャナは高度な物理的アクセス制御装置であり、この装置の使用はこの企業が物理的資産の保護に相当な力を入れていたことを示しています。この企業はこれらの装置をITネットワークと統合し、物理的アクセス制御を効率的に管理することを実現させました。しかしそれと同時に、遠隔地の第三者が実行する高度なサイバー攻撃に対して物理的防御を侵害する新しい手段を与えてしまいました。物理的リソースとネットワークリソースの間のシナジーにより、遠隔地の攻撃者はキーボードだけで企業の設備に対して物理的にアクセスする機会を手に入れてしまったのです。この統合により、通常のアンチマルウェアソリューションで検出できないであろう侵入が可能となりました。これらの侵入は既知の脅威データベースにリストされているどの攻撃「シグネチャ」のタイプにも結び付かないものだからです。しかし、Darktraceはこのような非従来型の脅威を検知し、異常な動作パターンについてセキュリティチームに知らせることにより、攻撃者が深刻な損害を与えるチャンスを得る前にこの企業にリアルタイムで警告することができたのです。

  • dark2.jpg

    2.マルウェア感染による違法コンテンツへのアクセス

    • 業界: セキュリティ
    • 侵入ポイント: ネットワークサーバー
    • 見かけ上の目的: マルウェア感染により違法なウェブ利用の証拠を仕込み濡れ衣をきせる
  • 中東のセキュリティ企業にDarktraceをインストールして数週間後、Enterprise Immune Systemは複数の従業員のデスクトップPCが心当たりのない世界各地のウェブサイトにアクセスしていることを検出しました。これらのウェブサイトはランダムな、アルゴリズムで生成された名前を持っていました。このことは、意図された通常のトラフィックではないことを示唆していましたが、シグネチャベースの防御ではわかりませんでした。Darktraceによる調査では、これらのウェブサイトは露骨かつ違法なコンテンツに関連しており、同社およびその従業員に深刻な法的リスクをもたらすところでした。

    Darktraceの検出結果:
    • 7台の社内デスクトップPCが、自己署名証明書を発行するアルゴリズム生成されたホスト名に対してSSL接続を開始していました。
    • これらのウェブサイトは同社のネットワークにとっては通常とは異なるものでした。Darktraceがインストールされて以来これらのサイトおよびそのサーバーに接続した履歴がなかったからです。
    • SSL接続は異常に強力な暗号スイートを利用していました。
    このアクティビティを中東で検知した直後、Darktraceは同様の通信が米国の大手小売業者のウェブサイトでも行われているのを発見しました。この小売業者の端末も同じサーバー上の同じ不適切なウェブサイトにアクセスしていました。これにより、意図的なユーザーの行為よりもマルウェア感染が強く疑われました。 このケースも、Darktraceによりウェブ閲覧動作が同社のアメリカ国内のコンピューターと比較して異常であるとして検知されたものです。このアクティビティの背景にあったマルウェアは新しく、比較的高度であったためにどちらの企業の既存セキュリティ対策でも検知を免れていました。感染が進行すれば、シグネチャベースの防御が更新されこのマルウェアの亜種を認識する前に社内の複数の端末が被害をうけていたことでしょう。
  • dark3.jpg

    3.DNSを利用した標的型マルウェアによるビーコニング

    • 業界: 旅行
    • 侵入ポイント: ヨーロッパの空港の遺失物担当部署
    • 見かけ上の目的: ブティック型マルウェアを使ってデータを取り出す
  • 2016年3月下旬、ヨーロッパの主要空港の1つが、わずかなマルウェア感染により情報漏洩のリスクに直面しました。このマルウェアは、通信をDNSリクエストに偽装することによりシグネチャベースの防御システムからの検知を免れていました。Darktraceがこのアクティビティを最初に検出したのは、遺失物担当部署の1台のコンピューターが、これまでにモデル化された活動のパターンと比較してまったく異例な外部通信を開始した時です。この端末は53番ポートを使って定期的にアメリカにあるデータセンターに接続していました。53番ポートはDNSトラフィックに割り当てられています。しかし、ほとんどのDNSリクエスト(このネットワークも含め)はUDPを使っているのに対し、これらのメッセージはTCPで送信されていました。このようなネットワーク外との通信を行っているのはこの端末だけであったため、Darktraceはさらなる調査が必要としてこの遺失物担当部署のコンピューターにフラグを立てました。解析によりすぐに明らかになったことは、接続先のアメリカのサーバーはDNSサーバーではなく、攻撃者によりC&Cインフラの一部として利用されていた可能性が高いということでした。

    Darktraceの検出結果:
    • これらの外部サーバーはこの空港のネットワークに対して100%の特異性を示していました。つまりDarktraceがインストールされて以来、社内のいずれの端末もこれらのサーバーに接続していなかったことを意味します。
    • 各DNSリクエストは、ネットワーク内のその他のDNSトラフィックと比較して異常な大きさでした。
    • Darktraceのパケットキャプチャにより、通信には暗号化された情報が含まれていたことがわかりました。DNSはインターネット通信に欠かせない機能であり、したがってほとんどの端末は53番ポートをオープンにしています。
    DNSは通常は情報の送信に使われるチャネルではないため、多くの組織ではこのポートのモニタリングに対するセキュリティリソースを最小限にしています。特に、重要な運行情報ではなく遺失物を扱うこのような部署ではそれが普通です。しかし、このことは悪意ある通信にDNSを利用できることを意味しています。これらは従来のシグネチャベースおよび境界型防御では、特にDNSトラフィックを特別に監視するよう設定されていない場合、検出が困難です。 異常なDNSリクエストを感染ライフサイクルの早い段階で見つけることにより、Darktraceはセキュリティチームがインシデント対応に即座にとりかかることで、データの引き出しをくい止めることを可能にしました。
  • dark4.jpg

    4.産業用電力ネットワークからのデータ引き出し

    • 業界: エネルギー
    • 侵入ポイント: SCADA ネットワーク
    • 見かけ上の目的: 機密性データを引き出し、遠隔制御リンクを確立する
  • 2015年の秋、中東の電力会社のSCADAネットワークにおいて、Darktraceは内部サーバーが侵害され外部の攻撃者にデータをリークしていることを特定しました。これが最初に明らかになったのは、Darktraceがこの内部サーバーへの特異なSSH接続を検出した時です。このサーバーはエネルギーネットワークとは一見無関係なアジアにある1台のコンピューターにつながっていました。 SSHは通常、信頼のおけるネットワーク管理者によるリモート接続に利用されるものであり、このプロトコルを使って外部と通信するというのは、この企業のネットワークにおいても非常に特異な挙動であることがわかりました。この特異な接続を調査する中で、DarktraceはこのサーバーがICMPを使って外部サーバーと定期的に接続し、大量の情報を転送していることも突き止めました。これは極めて憂慮すべきデータの引き出し事例であり、極めて初期の段階でDarktraceがこれを検出することにより、セキュリティチームは重要な情報がネットワークから漏洩する前に被害を食い止めることができました。

    Darktraceの検出結果:
    • サーバーはこれまでモデル化された動作と比較して異常に大きなボリュームの情報をネットワーク外に送信していました。
    • ネットワーク上でSSH接続を外部コンピューターから受信しているサーバーは他に存在しませんでした。
    • ICMPを使った通信もこのサーバーのアクティビティとして異常でした。
    • Darktraceのパケットキャプチャにより、外部サーバーは工場出荷時のデフォルトとしてオンラインで開示されていたアクセスコードを使って一連のSSH接続を試行して失敗した後、SSH認証に成功していたことが判明しました。
    産業用インフラは通常、外部インターネットからの接触に対してはしっかりと保護を行っています。しかしながら、こうしたネットワークは、その重要性を考えると、注目を集める標的への攻撃に関心を持つ最も高度なサイバー攻撃者にとって、魅力的な標的になってしまっています。また、脅威のトレンドの変化は速く、シグネチャベースの防御はこのような高度な脅威のすべてを検知できる可能性は低いと言えます。しかし、自己学習アプローチを通じて、Darktraceはこのような最新かつ高度なサイバー攻撃の発生を示す特異な接続とデータ転送をリアルタイムで発見するすることができました。