新しい年が始まったので、Talos が調査中にいつも目にしている最大の問題の 1 つ、パッシブなセキュリティ対策について取り上げたいと思います。
インシデント対応業務は Talos の業務の重要な部分であり、情報収集プロセスとそれに関連するレポートは、攻撃者の戦術、手法、手順(TTP)を把握する貴重な情報源となり得るだけでなく、組織に共通するセキュリティ上の欠陥とミスも明らかにします。
国家支援のグループや犯罪組織は攻撃の支援金として数百万ドルの収入を得ているので、パッシブなセキュリティ対策で勝利を収めようとするのは良い戦略とは言えません。Cisco Talos のインシデント対応業務で調査を行う際に最も頻繁に目にすることの 1 つが、導入されているテクノロジーに何らかの変更が加えられており、攻撃活動を検出していたにもかかわらず、攻撃者が組織の侵害に成功したというものです。その原因はほぼ例外なく、製品に備わっているブロック機能が使用されていなかったことです。積極的な防御策をとっていれば簡単に防げるものでした。
企業と攻撃者間のこうした攻防戦は今に始まったことではなく、数十年にわたって一進一退が続いています。攻撃を積極的にブロックするセキュリティ技術がある一方で、従業員やリーダーからは、使用すべきではないとの声が上がっていました。新しいテクノロジーは多くの誤検出を引き起こすことがあるので、10 ~ 15 年前であれば議論の余地もあったかもしれません。ですが、現在の脅威の状況では、そうした考えはトラブルの元となります。
パッシブ検出は、攻撃を積極的にブロックすることが不可能または現実的ではない特定の状況においてその役割を果たします。問題となるのは、組織が(すべてではないにせよ)セキュリティ技術の大部分をパッシブモードで運用している場合です。特にエンドポイントでは、最も重大な問題を孕むことになります。パッシブモードでの検出は最後の砦であり、検出の回避に成功した攻撃を特定するうえでは非常に重要です。一方、攻撃を積極的にブロックするセキュリティ技術は侵入を防ぐことを目的として導入されます。
巧妙化し続けるサイバー攻撃
これまで組織が対応を迫られてきた脅威は、主にボットやその他の悪意のある単純なペイロードをインストールしようとするものであり、特定の組織が標的にされることはほとんどありませんでした。現在では、ありとあらゆる手法と脆弱性を利用して組織に不正アクセスし、重大な影響を与えようとする多数の攻撃実行犯と戦うことになります。その結果、身代金や恐喝金の支払い、さらには、ブランドと評判に対する副次的な損害により、数百万ドルの損失が発生する可能性があります。ですが、それだけで済めばまだ良い方です。さらに悪いシナリオでは、豊富な資金と高度な技術を備えた国家支援のグループとも対峙することになり、こうしたグループ間には潜在的なつながりがあります。
国家支援のグループの手口は巧妙ですが、完璧ではありません。侵入を果たすには、やはりコマンドの実行が必要です。また、ツールが実行される場合もあります。通常、これらのコマンドやツールは検出されますが、ブロックされなければ、攻撃の進行を遅らせることはできないでしょう。環境を保護するためのテクノロジーには、場合によっては数百万ドルもの費用がかかります。それなのに、誰も見ていない深夜 3 時にアラートが生成されるだけなら何の意味があるのでしょうか。その間にも、攻撃者は最も重要な機密情報を収集し、流出させているのです。これは特に、エンドポイントセキュリティについて言えることです。エンドポイントセキュリティは組織を保護するための最後の砦なので、最終防御線として効果を発揮する必要があります。
攻撃者の目的はデータを収集して流出させ、身代金を要求することであり、それを達成するための手法を効率化しています。Talos が Truebot の調査
を行っていたときに発見した「teleport」というツールは、より見つかりにくい方法でデータをすばやく流出させられるようになっていました。攻撃者はこのツールを使用して迅速にコマンドを実行し、恐喝目的に使用できそうなデータを収集して流出させていたのです。
これは最新の事例に過ぎず、攻撃者が巧妙で構造的な手法を使用しているという証拠はいくらでもあります。ネットワークに侵入して迅速かつ効率的に攻撃を実行する方法をまとめたハンドブックの流出もその一例です。攻撃実行犯はうまく立ち回っているので、攻撃を積極的にブロックしないのは間違った判断です。
スキル不足は現実のもので、悪化している
24 時間 365 日体制のセキュリティ運用チームを設けていればアナリストが対応できるので、パッシブモードでのセキュリティ対策で十分だという意見があるかもしれません。しかし現実には、セキュリティチームのキャパシティは限られており、これまで更新してきたテクノロジーを維持、運用し、レポートするだけで手一杯です。それと同時に、ニュースで大きく取り上げられている最新の脆弱性や脅威に関して、経営陣の期待に応える必要もあります。さらに、ビジネスのコンプライアンス要件もすべて満たさなくてはならず、すでに限界を超えています。このような状況では、アラートが生成された際にアナリストが優先順位を付ける時間はほぼありません。多くの場合、アラートは誰も見ていないときにコンソールに送信されます。諺にあるように、「森で木が倒れたとしても、誰もその音を聞いていないのであれば、音が鳴ったと言えるのか」という状況です。
これと同じことで、アラートが生成されても対策をとらないのであれば、組織を保護することにはなりません。アラートは単に、何か異常がある可能性を示すだけで終わってしまいます。最終的に残るのは、適切なテクノロジーが必要なところに導入され機能していたにもかかわらず、攻撃者は侵入に成功したと記載されているインシデント対応レポートです。
企業のパッチ適用の進捗との共通点
セキュリティあるいは IT 全般には、積極的なセキュリティ対策との共通点を持つ別の課題が存在します。それが、パッチ適用です。5 ~ 10 年前を振り返ると、パッチ適用はまったく行われていないか、問題やクラッシュを引き起こさないことを確認するために、3 ~ 6 か月間はテストシステムで「焼成」する必要がありました。しかし現在ではパッチは非常に安定しており、企業は問題なく定期的にパッチを公開しています。また一般ユーザーも、自動的にパッチを適用するようになっている状況です。今や、積極的なセキュリティ対策についても、これと同じことが言えます。まだ誤検出はあるでしょうが、脅威が急激に増加する中で、そのリスクは減り続けています。
誤検出と実際の侵害のどちらを重視するのか
積極的なセキュリティ対策のためのテクノロジーについて議論する際によく話に出るのが誤検出の問題です。セキュリティ技術を導入するうえで誤検出は避けられません。何事も完璧ではなく、不適切な検出が発生することはあります。問いかけるべきは「時々発生する誤検出の問題に対処するのと、侵害が発生して本当に重大な問題への対応を迫られるのではどちらが良いのか」ということです。
重大インシデントが発生してからではなく、今すぐにこの件について経営陣と話し合うことをおすすめします。生成されるアラートの量、それに付随する作業、そして現在の状況で、高いスキルを持った執拗な攻撃者と戦いながら、片手を後ろ手に縛られた状態でセキュリティを運用することの難しさについて確かなデータを揃え、主張の裏付けとしてください。2024 年となった今、パッシブなセキュリティ対策では災難を招き寄せることになりかねません。
本稿は 2024 年 02 月 28 日に Talos Group
Authors