最近発生した巧妙なサイバー攻撃においては、Akiraランサムウェアグループが、セキュリティ保護されていない Linuxベースのウェブカメラ を利用して企業ネットワークに侵入しました。見過ごされていたIoTデバイスを悪用することで、攻撃者は従来の エンドポイント検出および対応(EDR)ソリューションをバイパスすることに成功し、最終的にネットワーク共有を暗号化して広範にわたる被害を引き起こしました。このインシデントは、 IoTベースの攻撃ベクトル のリスクが増大していることを強調し、接続されたデバイスに対し、組織が堅牢なセキュリティ対策を緊急に実装する必要があることを浮き彫りにしています。
企業が自社のインフラストラクチャとIoTデバイスの統合を続ける中、攻撃者による横方向の移動を防ぐため、これらのエンドポイントを保護することが非常に重要となります。この記事では、攻撃者によるIoTデバイスの悪用方法や、当該攻撃が意味すること、そしてSumo Logicの First Seen および Outlier ルールを使用することで、いかにランサムウェアインシデントにエスカレートする前にこれらの脅威を検出することができるかを説明します。
脅威を理解すること
Akiraグループはいかにしてウェブカメラを侵害したか
攻撃は、ランサムウェアのオペレーターが企業ネットワーク内でセキュリティ保護されていないLinuxベースのウェブカメラを特定したときに始まりました。攻撃者はデフォルトの、または脆弱な資格情報を悪用し、デバイスへの初期アクセスを取得したのです。侵入後は、侵害したウェブカメラを使用して次のことを行いました。
- ネットワーク内の他のデバイスによるWindowsサーバーメッセージブロック(SMB)共有のマウント。
- IoTデバイスによるLinuxベースランサムウェア暗号化ツールの直接展開。
- 従来のエンドポイントを監視するように設計されたEDRソリューションをトリガーしない、ネットワーク共有保存データの暗号化。
IoTデバイスには、堅牢なログ記録および監視機能が欠けていることが少なくありません。攻撃者が、ランサムウェアの実行を検出および防止するために設計されたエンドポイントのセキュリティ対策を回避し、検出されずに活動することができたのも、このためでした。
IoTベースの攻撃が組織のセキュリティに与える影響
このインシデントは、組織における次のような重大懸念事項を浮き彫りにしました。
- 監視されていない攻撃対象領域: 多くのIoTデバイスは適切なセキュリティ制御なしに導入されているため、攻撃者にとって理想的なエントリポイントとなっています。
- 横方向の移動: 攻撃者は、IoTデバイスを侵害し次第、ネットワーク内を移動して価値の高いアセットをターゲティングすることが可能です。
- EDRにおける盲点: 従来のエンドポイント保護ソリューションは、IoTデバイスを監視するように設計されていないため、攻撃者が検出を回避する機会が生じます。
- ランサムウェアによるリスクの増加: ランサムウェアのオペレーターがより巧妙なテクニックを使い始めるにつれ、組織はエンドポイントベースの防御のみに頼るのではなく、ネットワーク動作の異常を検出するための準備を整える必要があります。積極的なアプローチにより、異なる指標の相関が可能になり、複雑なランサムウェアの脅威を効果的に検出・対応する能力が向上します。
Sumo Logicを活用した検出
Outlierルール:IoTデバイスからの異常なSMBトラフィックを監視
Sumo Logic Cloud SIEM による外れ値ベース検出の主な利点としては、このようなタイプのユースケースに顕著な複雑さがなく、ユーザーやIPアドレス、デバイスなどさまざまなエンティティにわたって異常な動作を柔軟に識別できることが挙げられます。
IoTデバイスをよく理解するということが、デバイス周辺の不審なアクティビティを効果的に検出するための鍵となります。ノイズを減らし、検出精度を高めるためには、既知のIoTデバイスのIPを追跡するように設計されたSumo Logicの マッチリスト を活用することができます。これにより、セキュリティチームは、承認されたデバイスからの無害なトラフィックを除外し、真の異常の優先順位を上げることができるようになります。
以下のルールは、ネットワーク内のIoTデバイスから発生する異常なサーバーメッセージブロック(SMB)トラフィックを監視します。IoTデバイスは、環境監視や自動化、ネットワーク家電など、特定の制約された機能向けに設計されているため、通常はSMB通信を行いません。これらのデバイスからの異常なSMBトラフィックは、ファイルへの不正なアクセス試行、横方向の移動、またはマルウェアによる侵害などの潜在的なセキュリティリスクを示す可能性があります。
First Seenルール:ネットワーク共有の不正マウントを検出
以下のルールは、ネットワーク共有の不正なマウントを監視します。これは、潜在的なデータ抽出、横方向の移動、または不正なアクセス試行の指標となります。ネットワーク共有(SMBやNFSマウントなど)は、一般的にファイルの保存や共同作業に使用されますが、異常なマウント(特に未確認のデバイスやサービスアカウント、外部ソースからのマウントなど)は、設定ミス、資格情報の不正使用、またはアクティブな脅威アクターによる機密データへのアクセス試行を示す可能性があります。
Outlierルール:IoTデバイスからのネットワークトラフィックの異常な増加を特定
IOTデバイスから通常よりも大量のデータが送信されていることが確認された場合、当該IPに関連付けられているデバイスや、インターネットの宛先、そして異常な動作に関連するトラフィックを調査することが推奨されます。検出期間内のソースIPと外部ネットワークトラフィックの正規化されたレコード検索が、疑わしいアクティビティの特定に役立ちます。
First Seenルール:IoTデバイス上で認識されていないプロセスの実行をフラグ付け
以下のルールは、IoTデバイス上で未確認または未承認のプロセスの実行を監視します。これは侵害や、承認されていないソフトウェアのインストール、またはエクスプロイト試行の強力な指標となります。従来のエンドポイントとは異なり、IoTデバイスは通常、自動化や監視、通信など、特定の機能向けに設計された限定的で予測可能なプロセスのセットを実行します。これらのデバイスにおいて新規または未認識のバイナリによる実行がある場合、これはマルウェア感染やファームウェアの不正な変更、または攻撃者による永続性の確立試行を示唆する場合があります。
まとめと次のステップ
Akiraランサムウェアによるエクスプロイトは、セキュリティ保護されていないIoTデバイスが企業のセキュリティにもたらすリスクの増大を示すものです。攻撃者は、IoTエンドポイントを従来の防御を回避するためのステルス的エントリポイントとして活用する戦術を進化させ続けているため、EDRソリューションへの依存を超えた検出戦略が必要となります。セキュリティチームには、複雑な従来のセキュリティ分析の代わりに、大規模なルール調整や異なるデータソース間における手動相関を必要とせず、リアルタイムでこれらの脅威を特定することを可能とする柔軟なプラットフォームが必要です。
Sumo LogicのFirst SeenおよびOutlierルールプリミティブは、早期の侵害指標を特定したり、異常な動作を検出したり、IoTベースの脅威がエスカレートする前に軽減措置を行ったりするための強力かつ柔軟なアプローチを提供します。この中には、次のようなものが含まれます。
- Outlierルールにおける、異常なSMBトラフィックやIoTデバイスからの異常なネットワークスパイクの識別
- First Seenルールにおける、ネットワーク共有の不正なマウントや未確認プロセスの実行検出
これらの検出技術は、セキュリティチームが従来とは異なる攻撃対象領域を可視化し、横方向の移動を早期に検出することで、重大なセキュリティギャップを埋めるのに役立ちます。
Sumo Logicを活用することで、ユーザーは従来のUEBAソリューションに伴う運用上の複雑さに煩わされることなく、新たな脅威に適応する効果的な検出ルールを迅速に導入することができます。大規模なデータモデリングと調整を必要とすることが多く、複雑な手動プロセス(ルックアップや複数のクエリなど)に頼る従来のSIEMと異なり、Sumo LogicのFirst SeenおよびOutlierプリミティブは、軽量でスケーラブルな異常検出を提供します!
Cloud SIEMのライブデモをご希望の場合はぜひ当社までお問い合わせください。 お客様の環境がSIEMソリューションにより保護されているかどうかを評価してみましょう。
