2016 年 11 月 28 日 – Microsoft Secure Blog スタッフ – マイクロソフト

このポストは「Disrupting the kill chain」の翻訳です。

執筆者: Jonathan Trull – エンタープライズ サイバーセキュリティ グループ、ワールドワイド エグゼクティブ サイバーセキュリティ アドバイザ

サイバー キル チェーンは、組織のネットワークやシステムに侵入する目的で攻撃者が用いる「手法、戦術、および手順 (TTP)」を含む一般的なワークフローについて示したものです。マイクロソフトのグローバル インシデント対応および復旧 (GIRR) チーム、ならびに Enterprise Threat Detection Service (マイクロソフトが提供する管理対象サイバー脅威検出サービス) は、毎年、数千もの標的型攻撃を特定し、それらの攻撃に対応しています。次の図は、マイクロソフトの経験に基づいて、今日の大半の標的型サイバー侵入がどのように行われているかを示したものです。

通常、初期攻撃には以下の手順が含まれます。

• 外部偵察 (External Recon)– この段階では、通常、攻撃者は一般公開されているさまざまな情報源を調査し、標的に関する情報をできるだけ多く見つけます。これには、標的の IP アドレス範囲、業務とサプライ チェーン、従業員、エグゼクティブ、および使用されているテクノロジに関する情報が含まれます。この段階の目標は、攻撃の成功率を高めるために十分な情報を入手することです。攻撃者が過去にその環境に侵入したことがある場合は、その際に収集された情報も参照します。

• マシンの侵害 (Compromised machine)– 攻撃者は、ソーシャル エンジニアリング攻撃を継続して使用し、標的となるネットワークに侵入するための最初の「足場」を確保します。なぜなら、特に標的を絞って、良質なインテリジェンスに基づいてこれらの攻撃を行うことで、成功率がきわめて高くなるためです。この段階では、攻撃者は組織内の厳選した従業員に標的を絞ったフィッシング メールを送信します。この電子メールには、悪意のある添付ファイル、または受信者を「水飲み場」に誘導するリンクのいずれかが含まれます。ユーザーが添付ファイルを実行したり、「水飲み場」にアクセスしたりすると、バックドアと呼ばれる別の悪意のあるツールが標的となるコンピューターにインストールされます。これによって、攻撃者はそのコンピューターをリモート制御できるようになります。

• 内部偵察と 横断的侵害行動（Internal Recon and Lateral Movement） –組織のネットワーク内で「足場」を確保した攻撃者は、ネットワーク外では入手できなかった情報の収集を開始します。これには、ホスト検出スキャンの実行、内部のさまざまなネットワークやシステムのマッピング、ネットワーク共有をマウントする試みが含まれます。また、攻撃者は、無料で入手できるにもかかわらず、きわめて効果的なツール (Mimikatz、WCE など) を使用して、最初に侵害されたマシンにローカル保存されている資格情報を入手し始めます。そして、以下に記載されている攻撃の次の段階に関する計画を開始します。

• ドメインの支配 (Domain Dominace)– この段階では、攻撃者はネットワークにおいてより信用度の高いステータスにアクセス権限のレベルを引き上げようと試みます。攻撃者の最終目標はデータへのアクセスです。ドメイン管理者の特権付き資格情報を入手することで、攻撃者はさまざまな方法で貴重なデータ ストアにアクセスできるようになります。特権付き資格情報を入手した攻撃者はネットワーク内をあちこち移動し始め、貴重なデータを探したり、後で身代金を要求できるようにランサムウェアをインストールしたり、その両方を行ったりします。

• データの統合と持ち出し(Data Consolidation and Exfiltration) – 組織のシステム内の貴重なデータにアクセスできるようになった攻撃者は、発見/妨害されることなく、データを統合し、パッケージ化して、ネットワーク外に送信する必要があります。これは、通常、データを暗号化した後、DNS、FTP、SFTP などの承認されたネットワーク プロトコルまたはインターネット ベースのファイル転送ソリューションを用いて、攻撃者が制御する外部システムにデータを転送する形で行われます。

Microsoft Secure Productive Enterprise

Microsoft Secure Productive Enterprise は、組織の従業員の生産性を確実に維持しながら、このサイバー攻撃のキル チェーンを破壊できるよう設計されたスイート製品です。これらの各テクノロジがキル チェーンを破壊する仕組みについて簡単にご説明します。

• Office 365 の Advanced Threat Protection – このテクノロジは、「初期侵害」の段階のプロセスを阻止し、フィッシング攻撃を成功させるためのコストを引き上げることができるように設計されています。 大半の攻撃者が、悪意のある添付ファイル、または「水飲み場」サイトへのリンクが含まれたフィッシング メールを利用します。Office 365 の Advanced Threat Protection (ATP) は、電子メールの既知/未知のマルウェアおよびウィルスから保護する機能、悪意のある URL からリアルタイム (クリック時) に保護する機能、および拡張されたレポート機能とトレース機能を提供します。メッセージや添付ファイルには、署名に対するスキャンが実施されます (複数のマルウェア対策エンジンおよびマイクロソフトのインテリジェント セキュリティ グラフのインテリジェンスを活用します)。それだけではなく、メッセージや添付ファイルは専用の「デトネーション チャンバー」に転送され、実行された後、悪意のある行動の兆候がないかを探るために、機械学習や高度分析の手法を用いて結果が解析されます。これによって、脅威を検出し、遮断することができます。また、拡張されたレポート機能により、セキュリティ チームは電子メール ベースの攻撃が行われた際にその攻撃をすばやく特定し、それに対応することができます。

• Windows 10 – このテクノロジは、ユーザーの PC を侵害してその PC を制御するのを困難にし、デバイスで保管および使用されているアカウントや資格情報を保護することで、マシンの侵害と Lateral Movement の段階のプロセスを阻止します。 Windows 10 のセキュリティ機能は、攻撃者が他の手段 (個人用の電子メールなど) を用いて組織のいずれかの従業員にマルウェアをうまく送り込んだ場合でも、初期感染を防ぎ、万が一感染した場合でも、Lateral Movement がそれ以上行われないよう阻止できるように設計されています。具体的に説明すると、まず Windows Defender Application Guard が、新しいハードウェア ベースの仮想化テクノロジを用いて、Edge ブラウザーの周囲に保護境界線を設けます。ブラウザー内でマルウェアが実行されても、マルウェアは基盤となるオペレーティングシステム システムにはアクセスできず、ブラウザーが閉じられた時点でマシンから駆除されます。Windows Device Guard は、追加の保護レイヤーを提供し、信頼できるプログラムだけがロードおよび実行され、悪意のあるプログラムが実行されないよう徹底します。次に Windows Credential Guard は、前述のハードウェア ベースの仮想化テクノロジを用いて、最初の「足場」をうまく確保した攻撃者がエンドポイントに保管されている他の資格情報を入手するのを阻止します。そして最後に、Windows Defender Advanced Threat Protection は、お客様のセキュリティ チーム向けの DVR です。この機能は、エンドポイントで発生しているすべてのイベントをほぼリアルタイムに記録する機能を提供し、組み込みの署名、機械学習、サービスとしての「デトネーション」による詳細なファイル解析、およびマイクロソフト インテリジェント セキュリティ グラフの能力を駆使して脅威を検出します。また、複雑な攻撃を調査するのに必要となる重要なフォレンジック データにリモート アクセスする機能をセキュリティ チームに提供します。

• Microsoft Advanced Threat Analytics – このテクノロジは、 Lateral Movement の攻撃手法を早期に検出し、迅速な対応を可能にすることで、Lateral Movement の段階のプロセスを阻止します。 Microsoft Advanced Threat Analytics (ATA) ソリューションは、攻撃者が上記の防御機能をうまくすり抜け、資格情報を不正取得して、Lateral Movement を行った場合でも、一連の堅牢な機能を提供することで、この段階の攻撃プロセスを検出できます。ATA は、既知の攻撃手法の検出、および環境の「正常」な状態を学習するユーザー ベースの分析を用いることで、攻撃を示す異常を特定できます。Microsoft ATA は、DNS の列挙、不正取得した資格情報の悪用 (異常な時間におけるアクセスの試みなど)、Lateral Movement (Pass-the-Ticket、Pass-the-Hash など)、特権の昇格 (偽造 PAC)、ドメインの支配に関するアクティビティ (スケルトン キー マルウェア、ゴールデン チケット、リモート実行) などの内部偵察の試みを検出できます。

• Azure Security Center – Microsoft ATA は組織のデータ センター内で行われているサイバー攻撃を検出しますが、Azure Security Center はこのレベルの保護機能をクラウドに拡張します。

そして、ここから佳境に入ります。次の図で示されているように、上記の各テクノロジは、シームレスに連携し、キル チェーン全体を見渡せる可視性をセキュリティ チームに提供できるように設計されています。

また、これらの各テクノロジは、マイクロソフトのさまざまな製品やサービスから収集されたサイバー脅威に関するインテリジェンスが含まれるマイクロソフト インテリジェント セキュリティ グラフの能力を駆使し、最も包括的かつ精度の高い検出機能を提供します。

• Cloud App Security、Intune、Azure Information Protection、および Windows 10 Information Protection – そして最後に、Microsoft Secure Productive Enterprise は、データの分類と保護を行い、データの損失を防ぐための重要な機能を提供します。数ある機能の中でもとりわけ、Microsoft Cloud App Security は、承認されていないクラウド アプリケーションの使用を特定して制御します。これにより、組織はクラウド ベースのアプリケーションを通じて、攻撃や従業員の不正行為によるデータの損失を防ぐことができます。Intune と Windows 10 Information Protection は、企業データと個人データの混在を防いだり、Windows 10 デバイスや iOS/Android ベースのモバイル デバイス上の承認されていないアプリケーションで企業データが使用されるのを防いだりします。そして最後に、Azure Information Protection は、デジタル権限管理テクノロジを用いてデータの分類と保護を行う機能を組織とその従業員に提供します。組織は、need-to-know (関係者以外極秘にする) 戦略を実施し、施行できるようになりました。これにより、攻撃者がネットワークへのアクセス権限を取得した場合に入手できる暗号化されていないデータの量が大幅に減少します。

最後に、マイクロソフトのエンタープライズ サイバーセキュリティ グループ (ECG) も、Secure Productive Enterprise の各種機能をインテリジェント セキュリティ グラフと組み合わせて活用した幅広い事前対応型サービスおよび事後対応型サービスを提供することで、攻撃の検出、攻撃への対応、攻撃からの復旧を支援します。

数週間以内に、上記の各テクノロジの詳細に踏み込み、セキュリティ戦略、オペレーション、および既存テクノロジにこれらのソリューションを最も効果的に組み込む方法について説明したブログやデモを公開する予定です。Microsoft のテクノロジの詳細については、Microsoft Secure を参照してください。