セキュリティインシデント対応における5つの重要ステップ～仮想事例でみるXDRの効果～

セキュリティインシデント対応におけるの5つの重要ステップ

サイバーリスクはすべての組織にとって避けらない問題ですが、ビジネスにどれだけ深刻な影響を及ぼすかは、対処のための事前準備でも差がつきます。予防策としての高度な防御は必要不可欠ですが、強固なセキュリティ体制には、事後対応として適切で実行可能なインシデント対応計画も重要な要素です。

インシデント対応計画は、組織の状況によって異なりますが、基本要素には、攻撃の特定、封じ込め、復旧に関わる手順、および関係先の整理や情報共有の手段、決裁プロセス、解決後の手続きなどを考慮することをお勧めします。

本記事では、トレンドマイクロが組織のインシデント対応計画の規定や実施、管理を支援するなかで得た知見に基づき、インシデント対応における主要な 5 つの重要ステップを仮想事例の形式で解説します。

仮想事例の状況：グローバルに事業を展開する金属加工会社のセキュリティ担当者がネットワークの異常を検知したという連絡が、SOC チームの責任者である B 氏に届きました...。

インシデント対応ステップ①：異常の検知

金曜日の夜、20時30分過ぎに私の携帯電話が鳴りました。電話は私の部下であるAさんからです。国内データセンターのファイルサーバーに導入しているセキュリティ製品でアラートがあがったという連絡が、セキュリティログのモニタリングを行う委託先の担当者から部下のAさんに入ったというのです。

間もなくして、調査結果が届き、何者かがファイルサーバーにリモート管理ソフトウェアをインストールしたことが判明しました。このソフトウェアは、以前は利用していましたが、現在、このファイルサーバーを含め利用中、また利用を計画しているケースはありません。つまり、作業ミスなどを考慮したとしても、従業員のインストールがこのタイミングで発生するようなたぐいのソフトウェアではないのです。

Aさんと私は、緊急事態である可能性が高いとの意見で一致しました。2日前、セキュリティベンダから、私たちのような製造業企業を標的にしたランサムウェアの脅威に関する注意喚起が届いていました。これらの攻撃者は通常、組織のネットワークに侵入後、データを窃取するため、リモート管理ソフトウェアを悪用して数日または数週間の間、セキュリティ検出を回避し、組織に潜伏できるようにしているといいます。

私は急ぎオフィスに向かいました。自宅から30分ほどの距離が幸いしました。AさんとSOCチームメンバーはすでにインシデント対応の手順を実行し始めていました。

私は、暗記していたインシデント対応の手順を今一度確認しました。幸いなことに XDR が正しく稼働していました。昨年、私は経営陣に対して、まさに今夜のような状況におけるXDR利用の利点を説明していました。つまり、素早く攻撃全体を可視化し、そのうえで適切な対処を素早く一元的に実行する、という点です。組織のネットワークが攻撃された場合、その対処は時間との勝負であり、インシデント対応の時間を短縮化できるかかが重要になります。

インシデント対応ステップ②：攻撃範囲の特定と隔離

私たちは、急ぎ攻撃の特定を進めました。SOCチームは、XDRを使用して、コールバックサーバー（C2）の分析を行い、不正なIPアドレスがファイルサーバーとのリモート接続を確立したことを確認しました。その後、情報漏えいが確認されたとの報告を受けましたが、そこに機密情報や個人情報はないことが確認できました。

同時に迅速にサーバーを分離し、オフラインにしました。

次のステップは、攻撃がどれだけ広がっているかを把握することでした。これには2つの主なタスクがあります。まず、他のエンドポイントが影響を受けているかどうかを、本社と国内外の拠点で特定すること、そして、攻撃が最初に侵入したデバイスを特定することです。過去のインシデント対応において、私は、最初のデバイスを隔離し安心していたところ、他に感染したデバイスが残っていたことで、これがきっかけとなり再び攻撃を受けるという、苦い経験をしました。

私たちはネットワークおよびエンドポイントセンサーを使用して、会社のすべてのデバイスに対して不正なIPアドレスとの接続がないかを特定するために調査を行いました。結果、カナダで2件、エストニアで4件と、感染端末が判明しました。

私はSOCチームのメンバーにこれらのデバイスを分離するように指示しました。それでもまだ対応完了には、まだ長い道のりが残っています。攻撃者は、多くの場合、侵害中にドメインを切り替えるため、最初のIPアドレスだけを監視すれば十分というわけにはいかないからです。私たちは該当期間に接続のあった全てのIPアドレスを厳密に調査し、追加の異常を見つけ出さなければなりません。

インシデント対応ステップ③：潜在脅威の調査と特定

この時点では、私は常にセキュリティを含めIT部門を統括する役員と連絡を取り合っていました。役員は、私からの報告内容を会社の経営陣と常に共有していました。また、SOCチームも、他の拠点のメンバーと情報交換をしていました。私たちは内部の議論内容が外部に漏れないよう、インシデント対応計画に従い、暗号化されたメッセージングチャネルを使用してコミュニケーションを行いました。組織内における侵害の内容やその影響範囲を正確に把握できるまで、内部の会話の機密性を確保すること不可欠です。

21時43分、攻撃者がまだネットワーク上でサイバー攻撃を行っていることが確認されました。私は、ゼロトラストの考え方に基づき、すべての通信／アクセスは信用しない、怪しいものとして扱う必要があると再認識しました。私たちはネットワーク全体、すべてのデバイスを含め徹底的なスキャンを再度実施し、データの損失、不正なソフトウェアのインストール、またはその他の潜在的な侵害の指標、IOC（Indicator of Compromise）^※を検出するための措置を講じました。
※侵害の指標IOC（Indicator of Compromise）サイバー攻撃で観測された痕跡（マルウェアのファイル名、C＆CサーバーのURLやドメイン名など）をデータベース化したもの。攻撃検知の迅速化、被害の最小化を実現するために利用する。

この過程で、いくつかのデバイスの感染が判明し、探していたマルウェアのハッシュ値を取得し、感染源を特定しました。感染源は、36時間前に侵害されたエストニア工場のIoT制御モジュールでした。

インシデント対応ステップ④：XDR による対処一元化と封じ込め

XDRの自動化により、特定された IOCについて、すべての情報を迅速にファイアウォールにアップロードすることができました。これにより、まだ確認されていない感染デバイスがある場合でも、ファイアウォールを監視し、IOCに関連する活動がブロックされたかどうかを追跡・確認し、適切な対策を取ることができました。また、影響を受けた全てのデバイスのネットワーク接続をリセットし、クエリを実行することで、ファイアウォールによってブロックされなかったデバイスにもマルウェアのハッシュが存在していないかを確認しました。

インシデント対応プロセスに基づき、感染デバイスだけでなく関連するユーザも特定し、一時的に特権を制限して悪用を防止しました。私たちの対応計画には、これらの制約に関してユーザにいつどのように通知する必要があるかが詳細に記載されており、それに対応するためのチームメンバーの配置を事前に計画していました。

同時に、ファイアウォールのログ解析から大量のデータ転送を検出しました。さらに初期感染から現在までの全期間の転送状況を分析しました。データの送出は最小限であり、無視できるものであるように見えましたが、この件について最終的な判断はリスク管理部門、法務部に委ねる必要があります。

感染デバイスがすべて把握され、初期感染デバイスが特定され、封じ込め策が取られた―、これでインシデント対応が無事に完了しました。

インシデント対応ステップ⑤：再発防止

今回のインシデント対応は、約2時間で完了しました。この点でXDRは確かな助けとなりました。インシデント対応を手動で実行した場合、調査、対処に今回の何倍も時間がかかる可能性があり、かつ感染源の特定も困難であったと予想されます。もちろん、チームに信頼を寄せていますが、XDRのようなテクノロジーがあることで、人の知見や経験、注意力だけにセキュリティを依存しないという安心感がありました。

無事に完了して安堵していましたが、同時に懸念もありました。優れたセキュリティ対策やインシデント対応計画にもかかわらず、攻撃者はデータにアクセスしマルウェアを展開することができたからです。もしかしたらもっと悪い事態になる可能性もありました。運が良かったといえますが、セキュリティは運に左右されるべきではありません。

今後についてチームと話し合い、完全なゼロトラストの体制を取ることに合意しました。簡単ではありませんが、ゼロトラストの厳格な取り組みは、侵害を大幅に減らし、今夜のような危機的状況を回避するのに有効な手立てとなります。また、次回に備えて、インストールされているセキュリティソフトウェアをすべて見直し、適切なポリシーが適用されていることを確認することとしました。

最善のセキュリティ対策は堅固なインシデント対応計画

仮想事例が示すように、明確に定義されたインシデント対応計画は、効果的なセキュリティ対策において重要です。そのためには、技術、作業的な手順だけでなく、意思決定の流れを明確にし、関係者を巻き込むタイミングや、顧客、パートナー、その他ステークホルダーとのコミュニケーションの戦略も考慮することが欠かせません。インシデント対応計画の策定や実行おいて、知見が不足している組織は、第三者のパートナーに支援を求めることを検討することをお勧めします。

本記事は、2023 年5月24日、USで公開されたAgainst the Clock: Cyber Incident Response Planの抄訳です。