Darktraceが発見するもの2016年世界脅威ケーススタディ

脅威レポート

1

2013年にEnterprise Immune Systemを発表して以来、Darktraceは世界で1,200件以上の「免疫システム」の導入を達成し、16,000件の「深刻な脅威」を初期の段階で発見しました。Darktraceはこれらの経験から得られたユニークな洞察により、進行中の攻撃や新しい脅威をそれらの目的を達成する前に対処しています。 サイバーセキュリティの傾向はメディアでも盛んに報じられていますが、これはあくまで確認されたものだけにすぎません。インシデント対応に基づいた調査では攻撃者の標的について貴重な情報を明らかにしていますが、より長期にわたるサイバー攻撃や内部不正の脅威は見落とされがちです。その理由は明確で、このような脅威があまりにも多くの企業においてまだ気づかれないままだからです。 このレポートでは、実際に発生した6つの事例を紹介し、この12か月の間にDarktraceがインストールされた環境において、発生した脅威や攻撃について解説します。それぞれの事例においても、攻撃には高度な手法や先端技術、特異な戦略が使われており、ヒューリスティックまたはルールベースのソリューションなど従来の手法による検出は不可能でした。 人が行う分析は自ずから限界があります。攻撃者が通常の活動に紛れ込むためのあらゆる方策を駆使する一方で、セキュリティアナリストは目に見える逸脱を手作業で探すことしかできないためです。企業がシグネチャベースのシステムに依存するということは、脅威をもし見つけることができたとしても、その対応の速さは不十分だということを意味します。Verizonの2016年度 Data Breach Investigations Reportによれば、サイバー攻撃を検出するのにかかった平均期間は146日間です。 Darktraceのグローバルな顧客基盤はあらゆる産業分野をカバーしていますが、そこにはいくつかはっきりした傾向が出現しつつあります。一つ目は、企業がIoT（Internet of Things）に対応する中で新しい脆弱性のエリアが発生しているということです。接続された新たなデバイスが増えるにつれ重要ネットワークやデータに対する侵入は増加します。しかし、企業はネットワーク上の見落としがちな場所に対して驚くほど盲目です。二つ目は、内部関係者による脅威が拡大していることです。これらのインシデントは必ずしも悪意のあるものとは限りません。しかし日々の業務プロセスのデジタル化が進むということは、正規のネットワークユーザーであってもデータやシステムを重大な脆弱性にさらす可能性があるということです。 三つ目は、マルウェア作成の微粒化です。すなわち、攻撃者はセキュリティチームが人手で新しい亜種を特定・ブロックするのをはるかに超える速さで悪意あるソフトウェアを生成および拡散できるということです。

状況がどれだけ悪化しているか、データやシステムがどれだけ露出した状態にあるかについては枚挙に暇がありません。そのような中で、機械学習は何百社もの企業のパラダイムを変革しています。これらの企業は自己学習型の「免疫システム」防御により、脅威を理解・検出し対処しています。膨大な作業に圧倒され続けることなく継続的に脅威を把握し鎮静化することが可能になっているのです。 このレポートはDarktraceの自己学習による技術アプローチでどのようなタイプの脅威を発見できるかについて紹介することを目的としています。それぞれの事例では、脅威状況が現在進行中の状態でDarktraceにより異常な動作が特定された様々なケースを紹介しています。ルールやシグネチャ、ネットワークや脅威の状況に関する事前の知識は一切使用されていません。その代わりに、Enterprise Immune Systemは高度な数学理論と機械学習でネットワークの定常時の状態を学びます。その上で、何が普通の状態で何がそうでないかを迅速に理解し、発生しつつある脅威をリアルタイムに検知することにより、鎮静化のための対応を可能にします。

はじめに

2

50%50%

HTC One Max

iPhone 5s/6/6+

Samsung Galaxy S5

EVENTS

Anomalousdetection

Long connectionduration

Anomalous time of operation

MOBILE DEVICESCURRENTLY SUPPORTINGBIORECOGNITION

increase projected for 2019

1. 生体認証制御システムへの侵入 業界： 製造業 侵入ポイント： 指紋スキャナ 見かけ上の目的: 生体認証アクセスキーの改ざん

2016年2月初旬、Darktraceはいくつかの重要拠点を抱える大手製造企業から相談を受けました。この企業は施設の物理的保護に力を入れ、特定の区域へのアクセスを制限するため指紋スキャナを導入しました。しかし、攻撃者は既知のソフトウェア脆弱性を利用し、スキャナおよびそれに含まれる機密性のユーザー情報へのアクセスに成功しました。この侵入は、攻撃者がネットワークを介して指紋の詳細を送受信し、この企業の施設への不正なアクセスを、望ましくない、危険性のある個人に提供することができたということを意味しています。

Darktraceの検出結果： • Darktraceのインストール直後に、この企業と関係の

ない外部のコンピューターからスキャナへの不審なTelnet接続が検出されました。

• この外部サーバーはデフォルトの認証情報を使ってスキャナにアクセスすることに成功し、root権限を使ってCPU情報を取得しました。

• このサーバーはその後各装置の履歴ファイルの削除を試行していました。

• さらなる調査を行うと、Telnet 23番ポートでこのスキャナが利用できることがIPデータベースshodan.ioに記録されていることがわかりました。

指紋スキャナは高度な物理的アクセス制御装置であり、この装置の使用はこの企業が物理的資産の保護に相当な力を入れていたことを示しています。この企業はこれらの装置をITネットワークと統合し、物理的アクセス制御を効率的に管理することを実現させました。しかしそれと同時に、遠隔地の第三者が実行する高度なサイバー攻撃に対して物理的防御を侵害する新しい手段を与えてしまいました。物理的リソースとネットワークリソースの間のシナジーにより、遠隔地の攻撃者はキーボードだけで企業の設備に対して物理的にアクセスする機会を手に入れてしまったのです。

この統合により、通常のアンチマルウェアソリューションで検出できないであろう侵入が可能となりました。これらの侵入は既知の脅威データベースにリストされているどの攻撃「シグネチャ」のタイプにも結び付かないものだからです。しかし、Darktraceはこのような非従来型の脅威を検知し、異常な動作パターンについてセキュリティチームに知らせることにより、攻撃者が深刻な損害を与えるチャンスを得る前にこの企業にリアルタイムで警告することができたのです。

3

EXPLICIT & ILLEGAL CONTENT

EXPLICIT & ILLEGAL CONTENT

�

SELF-SIGNEDCERTIFICATE

HEAVYENCRYPTION

UNUSUALDOMAIN

25GB25GB

TRANSFERDESTINATION

DATATRANSFER

PUBLIC WEBEXPOSURE

2 smartphones/ day

1 computer / 10 days

CHAIN OFANOMALIES:

2. ビデオ会議装置からのデータ流出 業界：小売り 侵入ポイント：ビデオ会議のカメラ 見かけ上の目的: ホストネットワークから大量のデータを送信する

2016年春に大規模な世界展開を行ったある大手スポーツ用品企業は、世界各地に新しいオフィスを展開し、各国のチーム間の日々のコミュニケーションを推進するためビデオ会議システムを導入しました。しかし、これらの装置の設定には脆弱性があり、外部の攻撃者が会議用カメラを完全にコントロールし、これを使ってネットワークから大量のデータを取り出すことが可能でした。

Darktraceはまず、このカメラが類似のデバイスと比較して格段に大きなデータ量をネットワーク外に送信していることを検知しました。奇妙なことに、カメラはこの情報をTelnetで送信していました。通常このプロトコルはネットワーク内での使用を制限されています。Darktraceのアナリストはその後、ビデオ会議システム全体が不正なリモートアクセスを実行しており、攻撃者がこれを利用して悪意あるコードを実行していることを突き止めました。

Darktraceの検出結果：• Telnetを使って外部に接続している社内のコンピュー

ターはこの装置だけでした。• 異 常 に 大 量 の 情 報 が 6 台 の 宛 先 不 明 な 外 部コン

ピューターにアップロードされていました。• Darktraceがインストールされる前に、バックドア型の

トロイの木馬が装置にアップロードされていました。• この会社と無関係な外部サーバーがFTP、Telnetおよ

びHTTPを使ってカメラに接続していました。

侵入されたカメラからの異常なデータ送信はDarktraceの動作モデリングアプローチにより簡単に検出することが可能でした。しかし、これはシグネチャベースのモデルでは容易に見落とされるタイプの挙動です。このようなアクティビティは一概に不正であるとは言えないからです。

攻撃者はおそらくこれらの大規模な送信により、以下のいずれかを行おうとしていたはずです： 1. 社外秘の音声およびビデオフィードデータを含む企

業情報を盗むこと。2. 装 置 のリモート制 御を行って別 のネットワークに

DDoS攻撃を仕掛けること。

どちらの状況もこの企業にとって深刻なセキュリティリスクであったはずです。この侵入により攻撃者は企業の活動の機密性とプライバシーを侵害し、外部の者の犯罪活動に対する法的責任を負わせる可能性もあったのです。Darktraceの迅速なネットワーク解析により、この状況は即座に当該装置を切り離し、このリスクを招いた脆弱性を調査する必要があることが明らかになりました。

4

EXPLICIT & ILLEGAL CONTENT

EXPLICIT & ILLEGAL CONTENT

�

SELF-SIGNEDCERTIFICATE

HEAVYENCRYPTION

UNUSUALDOMAIN

3. マルウェア感染による違法コンテンツへのアクセス 業界：セキュリティ 侵入ポイント： ネットワークサーバー 見かけ上の目的: マルウェア感染により違法なウェブ利用の証拠を仕込み濡れ衣をきせる

中東のセキュリティ企業にDarktraceをインストールして数週間後、Enterprise Immune Systemは複数の従業員のデスクトップPCが心当たりのない世界各地のウェブサイトにアクセスしていることを検出しました。これらのウェブサイトはランダムな、アルゴリズムで生成された名前を持っていました。このことは、意図された通常のトラフィックではないことを示唆していましたが、シグネチャベースの防御ではわかりませんでした。Darktraceによる調査では、これらのウェブサイトは露骨かつ違法なコンテンツに関連しており、同社およびその従業員に深刻な法的リスクをもたらすところでした。

Darktraceの検出結果：• 7台の社内デスクトップPCが、自己署名証明書を発行

するアルゴリズム生成されたホスト名に対してSSL接続を開始していました。

• これらのウェブサイトは同社のネットワークにとっては通常とは異なるものでした。Darktraceがインストールされて以来これらのサイトおよびそのサーバーに接続した履歴がなかったからです。

• SSL接続は異常に強力な暗号スイートを利用していました。

このアクティビティを中東で検知した直後、Darktraceは同様の通信が米国の大手小売業者のウェブサイトでも行われているのを発見しました。この小売業者の端末も同じサーバー上の同じ不適切なウェブサイトにアクセスしていました。これにより、意図的なユーザーの行為よりもマルウェア感染が強く疑われました。

このケースも、Darktraceによりウェブ閲覧動作が同社のアメリカ国内のコンピューターと比較して異常であるとして検知されたものです。このアクティビティの背景にあったマルウェアは新しく、比較的高度であったためにどちらの企業の既存セキュリティ対策でも検知を免れていました。感染が進行すれば、シグネチャベースの防御が更新されこのマルウェアの亜種を認識する前に社内の複数の端末が被害をうけていたことでしょう。

5

�LOST & FOUND

UNUSUALLOCATION

UNUSUALREGULARITY

RESTRICTED CONTENT

4. DNSを利用した標的型マルウェアによるビーコニング 業界: 旅行 侵入ポイント：ヨーロッパの空港の遺失物担当部署 見かけ上の目的: ブティック型マルウェアを使ってデータを取り出す

2016年3月下旬、ヨーロッパの主要空港の1つが、わずかなマルウェア感染により情報漏洩のリスクに直面しました。このマルウェアは、通信をDNSリクエストに偽装することによりシグネチャベースの防御システムからの検知を免れていました。Darktraceがこのアクティビティを最初に検出したのは、遺失物担当部署の1台のコンピューターが、これまでにモデル化された活動のパターンと比較してまったく異例な外部通信を開始した時です。この端末は53番ポートを使って定期的にアメリカにあるデータセンターに接続していました。53番ポートはDNSトラフィックに割り当てられています。しかし、ほとんどのDNSリクエスト（このネットワークも含め）はUDPを使っているのに対し、これらのメッセージはTCPで送信されていました。このようなネットワーク外との通信を行っているのはこの端末だけであったため、Darktraceはさらなる調査が必要としてこの遺失物担当部署のコンピューターにフラグを立てました。解析によりすぐに明らかになったことは、接続先のアメリカのサーバーはDNSサーバーではなく、攻撃者によりC&Cインフラの一部として利用されていた可能性が高いということでした。

Darktraceの検出結果：• これらの外部サーバーはこの空港のネットワーク

に対して100%の特異性を示していました。つまりDarktraceがインストールされて以来、社内のいずれの端末もこれらのサーバーに接続していなかったことを意味します。

• 各DNSリクエストは、ネットワーク内のその他のDNSトラフィックと比較して異常な大きさでした。

• Darktraceのパケットキャプチャにより、通信には暗号化された情報が含まれていたことがわかりました。

DNSはインターネット通信に欠かせない機能であり、したがってほとんどの端末は53番ポートをオープンにしています。DNSは通常は情報の送信に使われるチャネルではないため、多くの組織ではこのポートのモニタリングに対するセキュリティリソースを最小限にしています。特に、重要な運行情報ではなく遺失物を扱うこのような部署ではそれが普通です。しかし、このことは悪意ある通信にDNSを利用できることを意味しています。これらは従来のシグネチャベースおよび境界型防御では、特にDNSトラフィックを特別に監視するよう設定されていない場合、検出が困難です。

異常なDNSリクエストを感染ライフサイクルの早い段階で見つけることにより、Darktraceはセキュリティチームがインシデント対応に即座にとりかかることで、データの引き出しをくい止めることを可能にしました。

6

BASELINE ‘PATTERN OF LIFE’• 1 connected device• DNP3 Port

SSHLINK

BEACONINGBEHAVIOR

DNP3

I N D U S T R I A L C O N S O L E > 100 MB > 100 MB > 100 MB

EXFILTRATIONACTIVITY

RAREEXTERNAL IP

2015年の秋、中東の電力会社のSCADAネットワークにおいて、Darktraceは内部サーバーが侵害され外部の攻撃者にデータをリークしていることを特定しました。これが最初に明らかになったのは、Darktraceがこの内部サーバーへの特異なSSH接続を検出した時です。このサーバーはエネルギーネットワークとは一見無関係なアジアにある1台のコンピューターにつながっていました。

SSHは通常、信頼のおけるネットワーク管理者によるリモート接続に利用されるものであり、このプロトコルを使って外部と通信するというのは、この企業のネットワークにおいても非常に特異な挙動であることがわかりました。この特異な接続を調査する中で、DarktraceはこのサーバーがICMPを使って外部サーバーと定期的に接続し、大量の情報を転送していることも突き止めました。これは極めて憂慮すべきデータの引き出し事例であり、極めて初期の段階でDarktraceがこれを検出することにより、セキュリティチームは重要な情報がネットワークから漏洩する前に被害を食い止めることができました。

Darktraceの検出結果：• サーバーはこれまでモデル化された動作と比較して

異常に大きなボリュームの情報をネットワーク外に送信していました。

• ネットワーク上でSSH接続を外部コンピューターから受信しているサーバーは他に存在しませんでした。

• ICMPを使った通信もこのサーバーのアクティビティとして異常でした。

• Darktraceのパケットキャプチャにより、外部サーバーは工場出荷時のデフォルトとしてオンラインで開示されていたアクセスコードを使って一連のSSH接続を試行して失敗した後、SSH認証に成功していたことが判明しました。

産業用インフラは通常、外部インターネットからの接触に対してはしっかりと保護を行っています。しかしながら、こうしたネットワークは、その重要性を考えると、注目を集める標的への攻撃に関心を持つ最も高度なサイバー攻撃者にとって、魅力的な標的になってしまっています。また、脅威のトレンドの変化は速く、シグネチャベースの防御はこのような高度な脅威のすべてを検知できる可能性は低いと言えます。しかし、自己学習アプローチを通じて、Darktraceはこのような最新かつ高度なサイバー攻撃の発生を示す特異な接続とデータ転送をリアルタイムで発見するすることができました。

5. 産業用電力ネットワークからのデータ引き出し 業界： エネルギー 侵入ポイント： SCADA ネットワーク 見かけ上の目的: 機密性データを引き出し、遠隔制御リンクを確立する

7

RAREDOMAIN

CONNECTIONDESTINATION

DOWNLOADPHASE

UKRAINE

Re: Our Meeting - InboxMessage

Hi,

Can we book a new meetingonline?

Click To Book Now

> Run encryption.exe

��� �

��� �

��� �

money isexchangedfor passkey

RANSOMWARE

PHISHING

6. 慈善団体へのランサムウェア攻撃 業界： 非営利 侵入ポイント： 偽装電子メールに添付された悪意あるPDF 見かけ上の目的: 重要なシステムファイルを暗号化し、復号キーと引き換えに支払いを要求

2016年4月下旬、米国カリフォルニア州を拠点とする慈善団体が悪質なランサムウェア攻撃の標的となり、この団体の運営そのものが脅かされました。攻撃者はこの慈善団体をセキュリティインフラがそれほど厳しくない「ソフトターゲット」と見なし、実在する文房具サプライヤからの請求書を装った偽の電子メールを作成しました。電子メールはこの慈善団体の受付係に送信されました。 最もよく訓練された従業員であっても、このような形のソーシャルエンジニアリング攻撃には弱く、受付係から見てこの電子メールが悪意を持ったものであることを疑う手がかりはほとんどありませんでした。添付されたPDFを開くと、文書に含まれたJavaScriptが受付係のコンピューターをウクライナにあるサーバーに接続し、内部のファイルを読み取り暗号化するように設計されたマルウェアをダウンロードしました。この攻撃の最終的な目的は大量の重要ファイルを暗号化した上で、この暗号を解除するためのプライベートキーに対する支払い（通常はビットコインの形で）を要求することです。 しかし、この慈善団体はDarktraceの4週間のPOV（Proof of Value）トライアルを開始したところであり、ネットワーク上のすべての機器の動作は自己学習アルゴリズムによって2週間に渡りモデル化されていました。その結果、受付係のコンピューターがウクライナのサーバーに接続し不審なファイルをダウンロードした時にDarktraceはこれを異常な動作として検出したのです。

このコンピューターはその後さらに、それまでにはなかった多数のSMBリクエストを実行しました。これが共有ファイルを読み取り暗号化するランサムウェアの動作だったのです。 Darktraceの検出結果：• ウクライナのサーバーはこの慈善団体のネットワーク

にとって特異なものでした。この団体の端末が世界のその地域のコンピューターに接触することは極めて稀だからです。

• 受付係のコンピューターが取得したファイルも特異でした。Darktraceがインストールされて以来同様のプログラムをダウンロードした端末は他にありませんでした。

• 受付係のコンピューターからのSMBリクエストの量はこのプロトコルを使ったそれまでの通信と比較して異例でした。

ランサムウェアによる攻撃はセキュリティチームが対処できるよりも素早い速度で展開します。しかしこのケースでは、ニューヨークにいるDarktraceのアナリストがこのコンピューターの動作の特異性はランサムウェアによる感染による可能性があると認識し、感染したコンピューターをオフラインにするようこの慈善団体にただちに連絡しました。このランサムウェアはローカルファイルの暗号化までは行ったものの、SMBリクエストはほとんど成功せず、マルウェアはネットワーク内に拡散しなかったため大きな損害は発生しませんでした。

8

まとめ

脅威がますます高度化、多様化し、それと同時にネットワークがより複雑化する中で、異常の検知は困難を極めています。本書で紹介した脅威は、攻撃が高度化、多様化し、動きの速いものとなっている世界的な傾向を示すものであり、これらの攻撃は業務プロセスのデジタル化の高まり、およびネットワークに接続された機器の拡大を利用しています。

これらの事例は、今日の企業が直面している、しかし「脅威」が何であるかの事前の定義に依存せざるを得ない従来のツールでは見過ごされてしまう、各種攻撃のタイプの幅広さを表しています。 このような新しいリスクをその展開またはライフサイクル早期の重要な段階で検出するDarktraceの能力は、ケンブリッジ大学の世界的スペシャリストが開発した独自の機械学習および数学理論を駆使した、従来とは根本的に異なるアプローチによるものです。この手法は、偏りのない自己学習型の脅威検知を可能にします。これは幅広いネットワークアクティビティと様々な基準からの逸脱を考慮し、脅威の可能性の全体像を形成するものです。

このアプローチは従来のツールにありがちな、セキュリティチームが偽陽性に忙殺されることによる脅威アラートに対する感受性の低下を防ぎ、本物の脅威に即座に注目し対処することを可能にします。機械学習テクニックはリアルタイムのスクリーニングと検出を情報インフラ全体に拡張し、すべてのトラフィックを24時間、週7日処理することを可能にします。これはいかに大規模なセキュリティチームでも分析不可能な規模です。そのため、Darktraceは敵のスピードに後れをとることなく、侵入者が常に利用しようと狙っている壁の小さなひび割れを見つけ出すと同時に、内部からの脅威や攻撃の早期段階も発見することができます。

サイバーブラックマーケットが成熟に近づく現在、攻撃者になろうとする者の参入障壁はかつてないほど低くなっています。今やすべての産業が、非従来型の攻撃、特に日々のネットワーク活動のバックグラウンドに紛れ込む高度なソフトウェアによる攻撃の標的となっています。現在では攻撃者が人工知能を使って正規のユーザーの動作を自動的に真似るケースも見られます。サイバー戦争は軍備競争になっているのです。 良いニュースは、自己学習技術が組織とともに成長、適応することにより、このような攻撃や脅威の情勢の変化についていくことが可能だということです。DarktraceのEnterprise Immune System技術は何を探すべきか既に知られているものしか見つけられない従来のツールの画一的手法を打破し、今日の脅威環境に内在する不確実性に対応することができます。

ダークトレースについてダークトレースは、世界をリードするサイバー防御企業の1つです。数々の受賞歴を誇るダークトレースのEnterprise Immune System技術は、ケンブリッジ大学の専門家により開発された機械学習と数学理論をベースに、組織内のあらゆるデバイス、ユーザーおよびネットワークの生活パターンを学習し、ルールやシグネチャに依存せず、新たな脅威を自動的に検知し、損害が出る前にサイバー脅威を特定・軽減します。エネルギーおよび小売、電気通信、製造、金融サービス、ヘルスケアを含む世界各国のあらゆる産業分野の企業がダークトレースの自己学習型アプライアンスを導入しています。本社は米国サンフランシスコと英国ケンブリッジにあり、ロンドン、ニューヨーク、ミラノ、ムンバイ、パリ、シンガポール、シドニー、東京、トロントおよびワシントンD.C.を含む世界に20以上の拠点を置いています。

日本： (03) 5456-5537japan@darktrace.com 米国： +1 (415) 243 3940 ヨーロッパ： +44 (0) 1223 324 114 www.darktrace.jp