pua
製品とサービス 製品とサービス

被害事例に学ぶ # 5 : 管理ツールをリスクのあるツールリストから除外する場合には慎重に

攻撃者は IT 管理者やセキュリティ専門家がよく使う正規のツールを使用することが多くなっていることから、不審な行動を特定するのが難しくなっています。

** 本記事は、Hindsight #5: Exclude admin tools with a scalpel, not a sledgehammer の翻訳です。最新の情報は英語記事をご覧ください。**

本記事は、サイバーセキュリティの専門家に向けて、情報漏えいの被害者が得た教訓を紹介する特集の 1 つです。それぞれの記事で簡単な推奨事項を挙げていますが、その多くは企業に新たなツールの購入を強いるものではありません。

As noted in the Sophos ソフォスの 2021 年版アクティブアドバーサリープレイブックに記載されているように、攻撃者は IT 管理者やセキュリティ専門家がよく使う正規のツールを使用することが多くなっていることから、不審な行動を特定するのが難しくなっています。IT チームの通常業務に必要不可欠であるこれらのツールの多くは、セキュリティ製品によって「潜在的に迷惑なアプリケーション」 ( または PUA / PUPs / RiskWare / RiskTool ) として検出されます。防御側は、以下 2 つの重要な問題について考える必要があります。(1) すべてのユーザーがこれらのユーティリティを使えるようにする必要があるか?(2) これらのユーティリティは、すべてのデバイス上で実行できる必要があるか?

PUA とは?

ここでは、「PUA (潜在的に不要なアプリケーション)」とは何か、そして PUA を安全に使用するためにはどうすればよいかについて説明します。OS に付属する PowerShell のような管理ツールを使用すれば、ネットワーク上のデバイスを自動的に管理できるようになります。また、ポートスキャン、パケットキャプチャ、スクリプト作成、モニタリング、セキュリティツール、圧縮とアーカイブ、暗号化、デバッグ、侵入テスト、ネットワーク管理、リモートアクセスなどの機能を提供するツール (サードパーティツールを含む) も頻繁に利用されています。これらのアプリケーションのほとんどは、システムレベルまたはルートレベルのアクセス権で実行されます。

自社の IT チームが社内でインストールして使用する場合は、これらのアプリケーションは便利なツールです。社外のユーザーがインストールして使用する場合は、潜在的に不要なアプリケーション ( PUA ) とみなされ、エンドポイントセキュリティソリューションによっては、そのようなフラグが立てられる場合もあります。
これらのツールを自由に使えるようにするために、管理者の多くは、使用したいツールをエンドポイントセキュリティ設定のグローバル除外リストまたは許可リストに追加します。残念なことに、このような除外方法は、権限のないユーザーによるツールのインストールと使用をも可能にしてしまいます。また、多くの場合に監視や警告、通知が全く行われなくなります。

PUA の問題点

<span data-contrast="auto"攻撃者が好んで使用する一般的な PUA には、以下のものがあります。

  • PSExec – クライアントソフトウェアを手動でインストールせずに、コンソールアプリケーションと完全に対話できるようにし、他のシステムでプロセスを実行できる telnet に代わる軽量なツールです。<span style="text-decoration: underline"PSExec の最も強力な機能は、リモートシステム上でインタラクティブなコマンドプロンプトを起動できることです。たとえば、ローカルマシンにログインしなくても、IpConfig のようなツールをリモートから実行して、リモートシステムの情報を表示できます。
  • PSKillリモートシステム上のプロセスを終了させることができます。PSKill を使ってリモートプロセスを終了させるためにターゲットコンピュータにクライアントをインストールする必要はありません。
  • Process Hacker –リソース監視ツールで、セキュリティやロギングソフトウェアを終了させるためによく使われます。
  • Anydesk/TeamViewer/RDPWrap – リモートアクセスのために設計されたツールで、特にインターネット経由で使用される場合、攻撃者が使用している可能性があります。
  • GMER – ルートキット対策ツールとして開発されたもので、セキュリティプロセスを「アンフック」するために使用されます。
  • 7Zip/GZip/WinRar – 攻撃者は圧縮ツールを使ってデータを結合および縮小して、外部に流出させて恐喝に悪用します。
  • Nirsoft ツール – パスワード回復、ソフトウェアのアンインストール、ユーザーインターフェースを表示せずにコマンドラインツールを実行する機能などを備えたツールが揃っています。
  • IOBit – 強力なアンインストール機能を持ち、セキュリティソフトウェアの削除によく使われます。
  • ProcDump – メモリをディスクにダンプできるデバッグツールで、これによりサイバー攻撃者は認証情報などのメモリ内にあるデータを取得できます。

サイバー攻撃者による PUA の使用

PUA の使用を許可するようにセキュリティポリシーを設定する場合には、慎重に判断する必要があります。あらゆる PUA を許可してしまうと、 IT 管理者と攻撃者の両方がツールを利用できるようになり、ツールの使用状況、目的や背景が全く見えなくなってしまいます。

ツールの利用が許可されていない場合、特定のデバイスにインストールされていなくても、攻撃者はそのツールをインストールして使用しようとする可能性があります。攻撃者がシステムに存在している機能やツールを利用して、できるだけ長期間検知を回避する一連の攻撃技術は、自給自足型や環境寄生型と呼ばれます。攻撃者はこのような手法により、ディスカバリ (重要な情報の特定)、認証情報へのアクセス、権限昇格、防御ソリューションの回避、常駐化、ネットワークの水平移動、情報の収集と窃取などを、警告フラグを一度も表示させずに実行できます。

攻撃者が最終段階である影響力の行使 ( ランサムウェアのペイロードの実行など ) に達しているときには、すでに手遅れです。セキュリティツールは (PSKill か IOBit によって) 無効化され、高位の権限のある認証情報は (GMER か ProcDump によって) 取得されています。 データはすでに ( 7Zip ファイルによって ) ダークウェブに転送されており、マルウェアは主要なシステム ( ひどい場合は、 SYSVOL や NETLOGON などのドメインレベルのファイル共有 ) にあらかじめ配置され、PSExec によって実行できる状態になっています。攻撃者が利用できる PUA が多ければ多いほど、攻撃範囲は広がります。

組織で PUA を許可する場合の注意点

最初に、グローバルに除外している PUA の項目を再度確認してください。本当に除外する必要があるかどうか、除外する項目には理由があるのか、それとも単に「昔からあったから」なのかを考えてみましょう。そもそも、セキュリティ製品によって PUA として検出されている理由を考えてみてください。これは、サイバー攻撃者によって悪用される可能性があるからです。除外する項目は、
and本当にすべてのサーバーとエンドユーザーデバイスに適用する必要がありますか?管理ツールではなく、を内蔵されている機能で代用できないでしょうか?
同様の結果を得るために、いくつものツールが本に必要か確認してください。

ソフォスでは、特定のアプリケーション、特定のマシン、特定の時間、特定のユーザーなど、厳格に管理された条件の下で PUA を許可することを推奨しています。これは、ポリシーを構成してこのように厳格に運用することができます。ポリシーは、必要に応じて適用でき、削除することもできます。予想していない PUA が使用されている場合は、攻撃者が自社の環境にアクセスしている可能性があるため、調査が必要です。