環境寄生型攻撃:その課題と WatchGuard Advanced EPDR
2024 年 9 月 25 日 Iratxe Vazquez 著
サイバーセキュリティにおいて、環境寄生型攻撃は検出が困難になってきています。この攻撃は、外部のマルウェアに依存するのではなく、PowerShell、WMI、Officeマクロのような正規のシステムツールを悪用しているため、攻撃者はネットワーク内で秘密裏に動くことができます。攻撃には、デジタル署名された信頼されたツールが使用されており、従来のセキュリティ対策では攻撃の特定に困難が伴います。
環境寄生型攻撃は検知の回避が可能で、追跡されるリスクも低いため、サイバー犯罪者にとって好都合です。このアプローチは目立たず、攻撃者が長期間潜伏することが可能で、侵害が成功する可能性も高まります。
環境寄生型攻撃における一般的なテクニック
- PowerShell:悪意のあるスクリプトのダウンロードと実行、リモート接続の確立、または明確な痕跡なしにシステム設定を変更するために悪用されます。
- WMI:リモートでコマンドを実行したり、システムデータを収集したり、システム上での永続性を保つために悪用されます。
- リモート管理ツール:PsExec のようなツールは、悪意のあるコマンドをリモートで実行するために転用することができます。
- Office マクロ:Office ドキュメントに埋め込まれた悪意のあるマクロは、開くとコードを実行し、ユーザの信頼を悪用します。
WatchGuard Advanced EPDR で環境寄生型攻撃からの保護を
- アプリケーションコントロール:PowerShell や WMI などのツールを特定のユーザやプロセスに制限。
- モニタリングと自動化された行動分析: シグネチャやエンドポイントテクノロジのみに依存するのではなく、クラウド上の挙動分析を用いて異常なシステムアクティビティを検知する。
これらの戦略を成功させるために、信頼されていないアプリケーションをブロックし、その信頼性を検証した後にのみ実行を許可するゼロトラストアプリケーションサービスや、脅威ハンティングサービスの他に、WatchGuard Advanced EPDR は、セキュリティアナリストが環境寄生型攻撃を使う攻撃者の存在を素早く検知し、対応を可能にする機能を提供しています。
アナリストは、PowerShell や WMI などのアプリケーションを拒否したり、ファイルレスのマルウェア攻撃で使用される典型的な動作を自動的に検出し、MITRE ATT&CK フレームワークにマッピングしたりすることで、これらの攻撃を防ぎます。
現在新しいバージョンの Advanced EPDR では、アナリストは単一のコンソールポイントから脅威インテリジェンスを含む強化されたテレメトリにアクセスすることで、これらのアクティビティを調査することができます。さらに、WatchGuard Advanced EPDR は、悪意のあるアプリケーションを含むインシデント調査のための貴重な情報を提供します。これは、MITRE ATT&CK テクニック、プログラムが示しうる悪意あるアクティビティの能力、そしてそのプログラムが使用する外部機能を特定するものです。これには、アプリケーションの動作を自動的に分析するためのオープンソースツールである CAPA をネイティブに統合することで、オペレーティングシステム操作やその他のライブラリを呼び出すことが含まれる場合もあります。
- リモートシェルによる調査と迅速なレスポンスの拡張:新バージョンの WatchGuard Advanced EPDR には、Windows、Linux、macOS のいずれであっても、リモートシェルを開いてファイルを取得したり、プロセスを検査したり、エンドポイントに直接アクションを起こしたりする機能が含まれています。
- リスクがある場合は、接続を許可しない:ネットワークセグメンテーションを使って異なるネットワークセグメントやエンドポイント間の通信を制限することで、 攻撃者が環境寄生型攻撃で水平移動することを防ぎます。新しいバージョンの WatchGuard Advanced EPDR では、管理者は保護されたエンドポイントにリスクをもたらす、規格に準拠していないエンドポイントからの接続を拒否することができ、組織のセキュリティ体制をさらに強化します。
- 教育と意識向上:マクロのリスクや管理ツールの安全な使用方法について従業員をトレーニングすることで、悪意あるスクリプトの不用意な実行を防ぎます。
結論
環境寄生型攻撃は、現代のサイバーセキュリティにおける重要な課題です。正規のシステムツールや機能を悪用することで攻撃者は目立たないよう活動し、従来のセキュリティソリューションの多くを回避してきます。このような攻撃を効果的に検知・防止するには、強固なテクノロジコントロール、常時監視、そしてユーザに対する強固なセキュリティトレーニングの組み合わせが必要です。新しいバージョンの WatchGuard Advanced EPDR を利用することで、企業はこれらの高度な脅威を検知、防止、対応する能力を強化し、より安全でレジリエンスのある環境を確保することができます。