企画広告

「どんな情報が漏洩したの?」「どこまで感染が広がったの?」——セキュリティ担当者が最も知りたい情報を証拠を元に示す「NetWitness Network」

ZDNET Japan Ad Special

2023-07-14 11:00

 セキュリティ対策に取り組むに当たって多くの人が悩むのは「何をどこまでやればいいか」だろう。やみくもに手を出しても、投資効果が上がるとは思えない。そんなときに指針となるのが、X.1060をはじめとするさまざまな国際セキュリティ標準であり、脅威ハンティングを通したセキュリティ体制の点検だ。

 ZDNET Japanがオンラインで開催した「ITセキュリティフォーラム2023 Summer 困難な時代だからこそ、基本に立ち返る 情報セキュリティ責任者(CISO)が考えるべき企業情報セキュリティ」のSESSION2では「セキュリティ分析官が解説、検知事例とデモでよくわかる脅威ハンティング」と題して、キヤノンITソリューションズ株式会社、サイバーセキュリティラボの飯渕諒氏が、「NetWitness Network」を用いて脅威をどのように検知していくかを、実際に猛威を振るうマルウェアを例に取りながら説明した。

パケット単位で通信を保管して再現し、脅威の調査を支援する「NetWitness Network」

キヤノンITソリューションズ株式会社
サイバーセキュリティラボ
飯渕 諒
キヤノンITソリューションズ株式会社
サイバーセキュリティラボ
飯渕 諒

 NetWitness Networkは、SIEMの機能を提供する「NetWitness Logs」やEDRの役割を果たす「NetWitness Endpoint」と並んで「RSA NetWitness Platform」を構成するソリューションの一つで、主にネットワークトラフィックの収集・蓄積が行える。

 「任意のキャプチャポイントから、ミラーポート経由で流れている通信をパケット単位で保管、調査できるため、従来のSIEMでは可視化できなかった細かい通信挙動の調査や、マルウェア感染による情報送信、外部からの侵入挙動といったネットワーク周りの通信も検知できます」と飯渕氏は説明した。

 NetWitness Networkには、3つの強みがあるという。

 1つ目は、ログよりも細かくパケット単位でデータを取得し、しかもテラバイトからペタバイト単位で大容量のデータを保管できることだ。2つ目は、パケットの属性や振る舞いに関する情報を「インテリジェントメタ」として付与し、インデックス化することで高速な検索や絞り込み分析が行えること。そして3つ目の強みは、こうして保管したパケット単位のデータを、テキストやメール、Web、ファイルなどさまざまな形式で再現できるセッション再現機能だ。

パケット単位で大容量のデータを保管し、脅威の検知や調査を支援するNetWitness Networkの3つの特徴
パケット単位で大容量のデータを保管し、脅威の検知や調査を支援するNetWitness Networkの3つの特徴

ファイルを復元して「何が漏れたか、漏れていないか」を確認し、
被害を最小限に

 このように説明した上で飯渕氏は、デモを交えながら、NetWitness Networkで現実の脅威をどのように検知できるかを紹介した。

 メール経由でばらまかれるドロッパーを介してバンキング型マルウェアの一種が「Ursnif」だ。このマルウェアに感染してしまうと、端末内に保存された情報が外部のC2サーバに送信される恐れがある。

 だがNetWitness Networkを用いてパケットを取得しておけば、見た目や拡張子を「JPEG」や「PNG」といった画像ファイルに見せかけつつ、実行ファイルとして送り込まれたUrsnifのバイナリファイルを、メタデータを元に絞り込んで検知できる。

 この場合、セキュリティ担当者として何より気になるのは、いったいどんな情報が送信されてしまったかだろう。そんな時には、NetWitness Networkのメタ情報を用いて特定のC2サーバ宛の通信のみを抽出し、疑わしい通信セッションを開いてWebビュー、そしてテキストビューで確認していくことで、どういった情報が送られたを視覚的に確認できる。また、pcap形式のファイルにエクスポートし、中身を確認することも可能だ。

 この結果、「テキストビューを元に、テキストログとして送信されたものがExcelの操作履歴であることを確認し、暗号化されたファイルについては、ダウンロードされたマルウェア検体を復元して検証環境で動作させることで、送信されたのはクリップボードの中身など軽微な情報のみであることも突き止めることに成功しました」(飯渕氏)。マルウェア感染の初期段階で被害状況を特定することで被害を最小限にとどめることができるというわけだ。

「情報は漏洩したのか、していないのか。したとすればどんな情報が漏れたのか」を明確にできる
「情報は漏洩したのか、していないのか。したとすればどんな情報が漏れたのか」を明確にできる

証跡を元に影響範囲を特定し、インシデント終息宣言も出しやすく

 2019年から世界的に流行し、国内でも多数の企業・組織で被害が生じているマルウェア「Emotet」の場合も同様だ。

 実際にスレットハンティングの現場でも、NetWitness Networkで収集したパケット情報を元に、外部の複数の不審なサーバに突発的な通信が行われていたことを検知し、Emotet感染によるものと推察するだけでなく、その通信内容を調査することで影響範囲を特定。「もう不審な通信が継続していない」といったエビデンスを元に、Emotetの活動が終息していることを報告し、調査をクローズしたという事案を説明した。

 「このように、社内でインシデントが発生した際の影響範囲の特定や証跡としての活用も可能になっています」(飯渕氏)

 また、何が感染のトリガーとなったかについても調査が可能だ。デモでは、難読化されたリンクが含まれていることを示すアラートのメタ情報を利用して疑わしいセッションを絞り込んだ上で、メールビューを利用して受信メールを復元していくことで、「Facebookのパスワード変更を促すメールを装ったフィッシングメールをクリックしてしまい、偽のサイトにアクセスしてしまったことが原因」と特定してみせた。

 NetWitness Network上ではさらに、他にもこのサイトへの通信が発生しているかどうか、もし発生している場合は具体的にどのような通信が行われているかを追跡調査することで、マルウェア感染活動の流れをつかむことができるという。

従業員の操作ミスや外部からの不正な通信の検知にも活用可能

 情報漏洩は、外部からの不正アクセスやマルウェアによるケースばかりではない。従業員のうっかりミスや故意の持ち出しも少なくない割合を占めているが、NetWitness Networkはそうしたケースの調査も行える。

 たとえば、従業員が外部の動画変換サイトに未発表の製品情報をアップロードしてしまったとしよう。NetWitness Networkではまず、通信サイズや送受信データの割合といったメタ情報を組み合わせることで、仮に暗号化されていて実態のわからない通信であっても、「外部宛てに何らかのファイルがPostされている」といったことを検知可能だ。

 さらにセッション復元機能やファイルビュー機能を用いてアップロードされたファイルを復元し、ファイルそのものの中身を確認することで、情報流出の可能性を確実に確認できる。「フルパケットを利用しているNetWitness Networkだからこそ、当時やりとりされていたファイルをそのまま復元し、確認できると言えます」(飯渕氏)

 また、公開サーバの脆弱性を突いた侵入や情報窃取が活発化する中、IPSなど既存の境界型防御ではブロックしきれなかった脆弱性を突いた攻撃についても、NetWitness Networkがパケットに付与するインテリジェントメタ情報に着目し、いわばシグネチャとして活用することで発見でき、既存の防御を補うことが可能だ。

 デモでは、Apache Strutsの脆弱性を突く攻撃が含まれたパケットに対してNetWitness Networkがアラートメタを付与することで、不正な通信の疑いが強いものを発見できる様子を紹介した。「これらのメタ情報を組み合わせることで、現在の脅威に応じたルールを作成したり、レポートに組み込んで定期的にそうした通信を抽出し、調査に役立てることができます」(飯渕氏)

 NetWitness Networkではこのように、さまざまな情報漏洩の調査・原因究明や不正アクセスの検知が可能になる。もしセキュリティ専門家がおらず、知識もないと不安を抱く場合でも、キヤノンITソリューションズが提供するNetWitness Networkを活用した脅威ハンティングサービスによって、防御の網の目をすり抜けてきた脅威をいち早く見つけ、被害を最小限に抑える支援が得られるとし、ぜひ活用してほしいと呼びかけた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  4. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  5. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]