この記事では、経験豊富なセキュリティアナリストが語る、インシデントの調査に役立つヒントを紹介します。
この記事は、ソフォスのセキュリティ担当者の技術を紹介するシリーズの第 2 回目です。今回は、Microsoft Exchange の脆弱性を例にとり、インシデント調査について紹介していきます。
ここ数ヶ月間で、 多くの重大な Microsoft Exchange の脆弱性や攻撃手法がセキュリティ研究者によって明らかにされました。例えば、Hafnium による攻撃や、ProxyLogon、ProxyShell、ProxyOracle、ProxyToken などの悪用が挙げられます。 これらのいずれの脆弱性によっても攻撃者にシステムレベルのアクセス権限が付与され Microsoft Exchange Server に不正にアクセスされる可能性があります。攻撃者にとって、Exchange Server のシステムレベルのアクセスから、さらに権限を昇格し、ネットワーク全体に対する持続的な攻撃へと移行するのはさほど難しいことではなく、組織にとっては大きなリスクとなります。
残念ながら、これらの脆弱性を修正するパッチが十分に適用されていない Microsoft Exchange Server が膨大に存在しています (在宅勤務の方は、この種の脅威を避けるために、すべてのサーバーとビジネスアプリケーションに完全なパッチを適用し、最新の状態にしておく必要があります)。そこで、 MTR チームは、脆弱性を持つサーバーを使用していたり、潜在的に攻撃を受けている顧客がいるかどうかを検証しました。
まず、ソフォスの Managed Threat Response (MTR) のセキュリティアナリストのチームは、より精細な調査を必要としているか顧客を特定する必要がありました。そのため、特定に使用したのは以下のような条件です。
- 脆弱性のあるバージョンの Microsoft Exchange を使用している。
- パッチが適用されていない脆弱性のあるバージョンの Microsoft Exchange を使用している。
- ポート 443 がインターネットに接続されている。
これらの条件をもとにして、攻撃者の標的にされる可能性がある顧客を特定してから、実際に攻撃の被害を受けた方がいないかどうかを調査しました。 調査の手法は、対象の Exchange の脆弱性によってそれぞれ異なります。 ProxyShell を例にとると、システム上に未知または悪意のある Web シェルが存在するか、拡張子が .aspx であるメールボックスがリネームされていることが手がかりとなりました。
ソフォスの MTR チームは、遭遇した脅威や固有の攻撃者ごとに手順書を作成しています。この利点は、攻撃時に広範な調査を行う必要がなく、すぐに行動に移すことができることです。先に述べた OODA ループの一環として、チームは調査のたびに攻撃を観察し、手順書を強固なものに進化させていきます。手順書には以下のような情報が含まれます。
- 特定の攻撃や攻撃者に共通または固有の 戦術、技術、手順 (TTP)。
- 関連するセキュリティ侵害の兆候 (IOC)。
- 公開されている脆弱性に関連するエクスプロイトの既知の概念実証。
- 同種の攻撃に対処する際に有用な脅威探索クエリ。
ProxyShell の場合、TTP は MITRE ATT&CK フレームワークにマッピングして以下のように示されます。
| 戦術 | 技術 ID | 技術名 |
| 偵察 | T1595.002 |
|
| 初期アクセス | T1190 |
|
| 実行 | T1059.001 |
|
| 常駐化 | T1136 |
|
| 防御の回避 | T1574.001 |
|
| 認証情報へのアクセス | T1003 |
|
| ラテラルムーブメント | T1210 |
|
| 影響 | T1486 |
|
これらの情報はすべて、ソフォスのエンドポイントプロテクションと MTR センサーを使って検索できます。これを利用すれば、マシン上の証拠の痕跡や履歴を追跡して完全な脅威の調査をすることができます。Sophos Intercept X エンドポイントエージェントは、マシン上での滞在期間中に多くの情報を記録します。これを利用することで、悪意のある Web シェルの作成よりも重大な被害が、滞在期間中、あるいはそれ以前に発生したかどうかを特定することができます。 MITRE ATT&CK やサイバーキルチェーンなどのさまざまな方法論を見ると、攻撃者は一連の攻撃の際に、調査の手がかりとなり得る痕跡を残すことがわかっています。
チームはこの痕跡を調査し、ネットワーク上に攻撃者が使用した他のツールがあるかどうか、また新たな侵害や攻撃があったかどうかを確認します。その後、ソフォスのエンドポイントプロテクションを介して直接、または顧客のネットワーク上で直接設定が必要なものについては顧客を介して、修復項目を実行することができます。
チームは脅威の検出と対応を 24 時間無休の体制で行っており、ソフォス MTR をご利用のお客様はいつでもサービスを受けることができます。脅威が確認された場合、チームは MTR の脅威対応優先順位に基づいた積極的な攻撃の封じ込めと無力化を行い、攻撃者をネットワークから排除します。また、解決までの時間が長引けば長引くほど金銭的損失が大きくなることを最大限に考慮し、一刻も早くネットワークの制御と秩序を回復できるように最大限の取り組みを行います。
現在、攻撃者の攻撃能力は過去最高に達しており、防御側は自社を守るためのツール、人材、リソースを確保することが求められています。防御の一環として、自社作成もしくは Sophos MTR のような第三者インシデント対応プロバイダー作成のインシデント対応戦略は必須です。
Sophos MTR サービスについての詳細は、ソフォスの Web サイトか、 ケーススタディや調査結果からご覧になれます。