この記事は、Technical Marketing Engineering Technical Leader である Christopher Grabowski よるブログ「 Encrypted Visibility Engine: The Security Analyst’s New Superpower 」( 2026年 3月 9日 )の抄訳です。
暗号化トラフィックの検査における課題
トラフィックの検査は、最新のファイアウォールシステムにおいても最も重要な機能の一つです。一方で、TLS や QUIC といった暗号化プロトコルの普及により、従来のディープ パケット インスペクション(DPI)技術に深刻な死角が生じています。トラフィックが暗号化されている場合、ファイアウォールはパケットのペイロードを検査できないため、セキュリティチームはネットワークを通過するトラフィックの内容を把握することができなくなります。
復号技術は一つの解決策にはなりますが、必ずしも実用的なわけではありません。アムステルダムで開催される CISCO Live! 2026 セキュリティ オペレーション センター(SOC)では、インライン処理ではなく、ネットワーク通信のパッシブコピーによる解析(SPAN)を行います。ここで画期的な技術となるのが、Encrypted Visibility Engine(EVE)です。EVE は、復号を行うことなく、暗号化接続に関する貴重なインサイトを提供する機能です。
Encrypted Visibility Engine とは
EVE は、ClientHello メッセージのフィンガープリントを解析することで、TLS / QUIC 暗号化トラフィック内のクライアント アプリケーションやプロセスを特定します。この過程で接続を復号することは一切ありません。これにより、暗号化接続を生成する送信元プロセスの可視化(従来はエンドポイント上のウイルス対策 / マルウェア対策ソフトウェアに限定されていた機能)が可能になります。
この技術には、シスコ開発による機械学習アルゴリズムが活用されています。これにより、Cisco Firewall は、1 万以上の既知のクライアント プロセス フィンガープリントのデータベースと 350 億の接続データを照合し、暗号化接続の接続先コンテキストを特定します。EVE は、正規のソフトウェアだけでなく、既知の悪意のあるプロセスも検出します。その対象範囲は拡大し続けており、侵入的な中間者復号を行うことなく、暗号化されたマルウェアトラフィックを特定できるようになっています。
インライン展開環境において、EVE はインテリジェント復号バイパス機能を備えています。これは、低リスク接続の検査をスキップすることでパフォーマンスを維持する、動的かつリスクベースのアプローチです。EVE の接続脅威スコアと Talos サーバー レピュテーション インテリジェンスを組み合わせることで、組織は低リスクトラフィックの復号を安心してバイパスしつつ、悪意のある可能性がある接続にリソースを集中させることができます。
また、パッシブなホスト検出機能が強化された EVE は、暗号化通信の送信元であるオペレーティングシステムを高精度に識別します。これにより、高いアプリケーション可視性、脆弱性に関するインサイトのほか、Snort 推奨機能などの精度向上といったメリットが得られます。
重要な点として、EVE は、Cisco Secure Firewall の包括的な脅威防御体制における追加の防御層として位置づけられています。復号やパケット検査に完全に代わるものではなく、あくまでそれらを補完する(可能な場合)ものです。EVE の機械学習モデルは、ほとんどの場合において高い精度を発揮しますが、その性質上確率論的であるため、時折、誤検知や検知漏れ、アプリケーションの誤分類が発生する可能性があります。組織は、EVE を補完的な機能として従来のセキュリティ対策と併用し、可視性を高めるとともに、不審なアクティビティが検出された際に詳細な検査を行うための指針として活用する必要があります。
実環境における脅威ハンティング:48 秒間に起きたインシデント
理論も重要ですが、実環境での脅威ハンティングにおいて EVE がどのようなパフォーマンスを発揮するのか、実際に確認しましょう。ここでは、シスコ提供の Wi-Fi 上で、カンファレンス参加者のトラフィックを監視していた際に検出された注目すべきインシデントをご紹介します。
EVE は、暗号化されたチャネルを介して Kazy トロイの木馬がコマンド & コントロール(C2)サーバーと接続している挙動(フィンガープリント)を検知しました。さらに調査を進めたところ、不審なアクティビティが次々と明らかになりました。そのエンドポイントは、Psiphon ソフトウェアを用いてネットワーク制限をバイパスし、SSH/Telnet 接続を複数回試み、さらに Nessus スキャンソフトウェアを実行していた可能性があります。
この一連の流れは、エンドポイントがネットワークから切断されるまでのわずか 48 秒の間に展開されました。
Kazy トロイの木馬による接続
EVE は、Kazy トロイの木馬バイナリ由来の暗号化接続を高精度(98%) で検知しました。appid.cisco.com で EVE プロセス分析ダッシュボードに切り替えて確認したところ、Cisco Secure Malware Analytics(旧 Threat Grid)が、以前に複数のマルウェアサンプルにおいてこのフィンガープリントを認識していたことが判明しました。このようなパターンから、マルウェア作成者が、暗号化バイナリを含む同様のコアコンポーネントを再利用している可能性が高いことがわかります。
EVE の確率的分類器は、既知のフィンガープリントの中で宛先 TCP ポート 443 への接続が最も多く見られたことを根拠に、「malware-trojan-kazy」サンプルと合致することを検出しました。重要な点として、サーバーの宛先 IP アドレスも、TLS ハンドシェイク時に確認できるサーバー名指定(SNI)のサーバー名も、既知の悪意ある IP / ドメインリストには含まれていません。Encrypted Visibility Engine がなければ、この接続はセキュリティアナリストに気づかれることなく成功していたでしょう。
Nessus のアクティビティが疑われるインシデント
続いて、EVE は、バイナリを基にパブリック IP アドレスへの暗号化接続を 3 件検出しましたが、Tenable Nessus である可能性(信頼度)が 37% しかありません。信頼度が低いため、これが Nessus によるものかどうかを確認するには追加の調査が必要です。一方で、これはシスコの ML システムがこれまで観測したことのないプロセスを示唆している可能性があり、その場合、不審なカスタムビルドのバイナリが動作している可能性が高い危険な兆候と判断されます。
SSH / Telnet 接続
クライアントが、SSH 接続を複数回、 Telnet 接続を 1 回試みました。応答パケットとバイト数の分析により、エンドポイントが複数のサーバーとの接続を正常に確立したことが確認されました。宛先はパブリック IPv4 アドレスを使用しており、エンドポイントは NAT64/DNS64 変換により宛先に到達しました。
Psiphon:検閲回避ツール
切断直前に、EVE は、検閲回避・反検閲ツールである Psiphon を使用した 2 つのアウトバウンド接続を検知しました。Psiphon は、VPN とプロキシを組み合わせたソフトウェアです。トラフィックを難読化して通常のウェブアクティビティに見えるよう偽装し、複数の手法を用いてブロックを回避し動的に手法を切り替えることでアクセスを維持します。
特に注目すべきは、これらの接続において、従来のファイアウォールのセキュリティ制御バイパスが以下の手法で試行された点です。
- QUIC プロトコルの使用:ほとんどの競合他社のファイアウォール ソリューションが検知・防御できないセキュリティ上の盲点
- 非標準 UDP ポート 917:標準ポートを前提としたセキュリティデバイスを欺く目的で使用される
- 不明かつ未分類の SNI:URL レピュテーションフィルターを潜り抜けるため、無害な通信に見せかける手法
EVE には、重要な可視性レイヤーが搭載されています。それこそが、QUIC や TLS ハンドシェイク時にソフトウェアが晒す暗号学的フィンガープリントであり、攻撃者が偽装するには高いコストと技術が必要になる手法です。
インシデントサマリー
上記のインシデントタイムラインにより、現代の脅威が隠蔽型暗号化機能を悪用し、従来のファイアウォールの死角を突く高度な手法を用いていることは明らかです。わずか 48 秒の間に、エンドポイントで以下が検知されました。
- Kazy トロイの木馬を介した C2 サーバーとの接続
- Psiphon 検閲回避ツールの使用
- 複数回の SSH/Telnet 接続の試行
- Nessus スキャンソフトウェアが実行された可能性
こうしたアクティビティは、EVE が C2 接続における侵害の兆候(IoC)を検知したことで発見されました。このエンドポイントの動作は極めて不審であり、ネットワークに再接続した場合、さらなる有害動作を行うリスクが高いと考えられます。
本インシデントは、さらなる調査のためエスカレーションされました。観測された挙動からは、自身のデバイス上でマルウェアが実行されていることに気づいていないユーザー、あるいは意図的にフィルタリング制御をバイパスし、偵察を行おうとしている人物のいずれかが関与していることが示唆されます。
EVE の価値
このような実際のインシデントから、Encrypted Visibility Engine によりセキュリティチームが以下のようなメリットを得られることがわかります。
- 可視性の向上:エンドポイントエージェントを必要としないプロセスレベルの検知
- 暗号化トラフィック分析:復号なしでの暗号化接続の分析
- 迅速な脅威検出:数秒での不審なアクティビティの特定
- 防御回避対策:高度な難読化を利用する回避ツールの検知
暗号化が当たり前となった時代において、セキュリティチームは EVE を利用することで、プライバシーやパフォーマンスを犠牲にすることなく重要な可視性を確保することができます。EVE は、復号を行うことなく、暗号化された QUIC および TLS 接続における悪意のあるアクティビティを検知しました。これらの接続では、非標準のポートが使用され、従来のセキュリティ制御をバイパスするよう難読化された、あるいは無害に見える SNI 値が使われていました。Encrypted Visibility Engine がなければ、この 48 秒間の接続はセキュリティ管理者に見過ごされ、ネットワークはさらなる偵察やラテラルムーブメントのリスクにさらされていたでしょう。
Encrypted Visibility Engine でセキュリティ運用を強化できる仕組みについて詳しく知りたい方は、Firewall Essentials Hub にアクセスし、Cisco Live! オンデマンドライブラリ で公開されている、TLS/QUIC の復号化と EVE について解説した最新の BRKSEC-3320 セッションをご覧ください。
アムステルダム 2026 の SOC チームによるその他のブログもぜひご覧ください。
ぜひお客様のご意見をお聞かせください。質問を投稿し、ソーシャルネットワークで Cisco Security の最新情報を入手してください。
シスコ セキュリティ ソーシャルメディア
Authors
