こんにちは 技術本部のM・Yです。
今回はSumo Logic社のIoTベースの脅威検知に関する記事を日本語化しました。
原文はこちらをご参照ください。
最近発生した巧妙なサイバー攻撃では、ランサムウェア・グループ 「Akira」が、セキュリティ保護されていないLinuxベースのウェブカメラを悪用し、企業ネットワークに侵入しました。この見過ごされていたIoTデバイスを悪用することで、攻撃者は従来のEDR(Endpoint Detection and Response)ソリューションを回避することに成功し、最終的にネットワーク共有を暗号化して広範囲にわたる被害をもたらしました。この事件は、IoTを悪用した攻撃ベクトルのリスクが増大していることを浮き彫りにし、組織が接続されたデバイスに対して堅牢なセキュリティ対策を導入することが緊急の課題であることを強調しています。
企業がIoTデバイスをインフラに統合し続ける中、これらのエンドポイントを保護することは、攻撃者によるラテラルムーブメント(横展開)を防ぐうえで極めて重要です。攻撃者がどのように IoT デバイスを悪用したのか、このような攻撃がもたらす影響、そして Sumo Logic の First Seen および Outlier ルールをどのように使用して、ランサムウェア事件にエスカレートする前にこれらの脅威を検知できるかについて学びましょう。
脅威の把握
ランサムウェア・グループ 「Akira」はどのようにしてウェブカメラを危険に晒したか
この攻撃は、ランサムウェアのオペレーターが企業ネットワーク内のセキュリティ保護されていないLinuxベースのウェブカメラを特定したことから始まりました。攻撃者は、デフォルトまたは脆弱な認証情報を悪用することで、デバイスへの初期アクセスを獲得しました。侵入後、彼らは侵害したウェブカメラを使用して以下のことを行いました:
- ネットワーク内の他のデバイスからWindows Server Message Block(SMB)共有をマウントする。
- Linuxベースのランサムウェア暗号化ツールをIoTデバイスから直接展開する。
- 従来のエンドポイントを監視するために設計されたEDRソリューションをトリガーすることなく、ネットワーク共有に保存されているデータを暗号化する。
IoTデバイスには、堅牢なロギング機能および監視機能が不足していることが多いため、攻撃者はランサムウェアの実行を検知および防止するために設計されたエンドポイントセキュリティ対策を回避し、検知されずに活動することができました 。
IoTを利用した攻撃が組織のセキュリティに与える影響
このインシデントは、組織にとっていくつかの重要な懸念事項を浮き彫りにしています。
- 監視されていない攻撃対象領域: 多くのIoTデバイスが適切なセキュリティ管理なしに導入されているため、攻撃者にとって理想的な侵入経路となっています。
- 横方向への動き: 攻撃者がIoTデバイスを侵害すると、ネットワーク内で方向転換し、価値の高い資産を標的にすることができます。
- EDRの盲点:従来のEDR(Endpoint Detection and Response)は、IoTデバイスを監視するようには設計されておらず、攻撃者が検知を回避する機会を生み出しています。
- ランサムウェアのリスクの増加: ランサムウェアを使った攻撃者がより高度な手法を採用するにつれて、組織はエンドポイントベースの防御だけに頼るのではなく、ネットワーク動作における異常値を検知する準備をする必要があります。このプロアクティブなアプローチにより、異なる指標を相関分析し、複雑なランサムウェアの脅威を効果的に検知し対応する能力が向上します。
Sumo Logicを活用した検知
Outlierルール:IoTデバイスからの異常なSMBトラフィックの監視
Sumo Logic Cloud SIEMのOutlier(異常値)ベースの検知の主要な利点の1つは、ユーザー、IPアドレス、デバイスなどの様々なエンティティにおける異常な動作を、従来の複雑なユースケースを使用せず特定できる柔軟性です。
IoTデバイスを把握することは、デバイスを取り巻く不審な動作を効果的に検知するための鍵となります。ノイズを減らし、検知精度を高めるために、Sumo Logicのマッチリストを活用して、既知のIoTデバイスのIPを追跡できます。これにより、セキュリティチームは、認証されたデバイスからの無害なトラフィックを除外しながら、真の異常に優先順位を付けることができます。
以下のルールは、ネットワーク内のIoTデバイスから発信される異常なServer Message Block(SMB)トラフィックを監視します。IoTデバイスは、環境監視、自動化、ネットワーク家電などの特定の制約された機能のために設計されているため、通常はSMB通信には関与しません。これらのデバイスからの異常なSMBトラフィックは、不正なファイルアクセス試行、横方向への移動、マルウェアによる侵害などの潜在的なセキュリティリスクを示している可能性があります。
First Seen ルール:ネットワーク共有の不正なマウントの検知
以下のルールは、不正なネットワーク共有のマウントを監視します。これは、データ漏洩、横方向への移動、または不正アクセスの試行を示す可能性があります。ネットワーク共有(SMBやNFSマウントなど)は、ファイルストレージや共同作業によく使用されますが、異常なマウント(特に、以前は見られなかったデバイス、サービスアカウント、または外部ソースからのマウント)は、設定ミス、認証情報の悪用、または機密データにアクセスを試みるアクティブな脅威行為などを示唆している可能性があります。
Outlierルール:IoTデバイスからのネットワークトラフィックの異常な増加の特定
IoTデバイスから通常よりも大量のデータが外部に送信されていることが確認されています。この異常な挙動に関連するデバイスのIPアドレス、インターネットの送信先、およびトラフィックを調査することを推奨します。検知期間内の送信元IPアドレスと外部ネットワークトラフィックについて、正規化されたレコードを検索することで、疑わしいアクティビティを特定するのに役立ちます。
First Seen ルール:IoT 機器で認識できないプロセスの実行にフラグ付け
以下のルールは、IoT デバイス上で以前は見られなかった、または許可されていないプロセスが実行されることを監視します。これは、侵害、不正なソフトウェアのインストール、またはエクスプロイトの試みを示す強力な指標となります。従来のエンドポイントとは異なり、IoT デバイスは通常、自動化、監視、通信などの特定の機能のために設計された、限定的で予測可能な一連のプロセスを実行します。これらのデバイス上で新しい、または認識されていないバイナリが実行されている場合、マルウェア感染、不正なファームウェア改ざん、または攻撃者による永続化の試みが示唆される可能性があります。
最終的な見解と次のステップ
ランサムウェア「Akira」の悪用は、保護されていないIoTデバイスが企業セキュリティにもたらすリスクが増大していることを示しています。攻撃者が従来の防御を回避するための隠密性の高い侵入経路としてIoTエンドポイントを活用する戦術を進化させ続ける中、EDRソリューションだけに頼るのではなく、さらに進んだ検知戦略が求められます。セキュリティチームは、従来のセキュリティ分析の複雑さに苦しむ代わりに、広範囲にわたるルール調整や異なるデータソース間で手動での相関付けを必要とせずに、これらの脅威をリアルタイムで特定できる柔軟なプラットフォームを必要としています。
Sumo LogicのFirst SeenおよびOutlierルールプリミティブは、侵害の初期兆候を特定し、異常な動作を検知し、IoTベースの脅威がエスカレートする前に軽減するための強力で柔軟なアプローチを提供します。
- Outlierルールは、IoTデバイスからの異常なSMBトラフィックや異常なネットワークスパイクを特定します。
- First Seenルールは、不正なネットワーク共有のマウントや、以前に確認されていないプロセスの実行を検知します。
これらの検知技術は、セキュリティチームが従来の枠にとらわれない攻撃対象領域を可視化し、横方向への動きを早期に検知し、重要なセキュリティギャップを埋めるのに役立ちます。
Sumo Logicを活用することで、お客様は従来のUEBAソリューションにありがちな運用の複雑さを伴うことなく、新たに出現した脅威に適応する効果的な検知ルールを迅速に展開することができます。手動の複雑なプロセス(ルックアップ、複数のクエリなど)に依存し、多くの場合で大規模なデータモデリングと広範囲にわたるチューニングを必要とする従来のSIEMとは異なり、Sumo LogicのFirst SeenおよびOutlierプリミティブは、軽量でスケーラブルな異常検知を提供します!
- カテゴリ:
- Sumo Logic
