なぜEDRでは不十分？脅威の半数以上を占める不正メールを可視化するXDRの有効性

多くのセキュリティインシデントの根本原因の把握にメールの調査はマスト

サイバーセキュリティにおいて、「人が最大のリスクである」とよく言われます。それは、内部犯行のような意図的な不正行為だけでなく、システムの安全な利用方法に対する理解の不十分さに起因する操作ミスや設定ミスも含まれます。加えて、本稿で特筆したいのは「人は騙されやすい」という点です。サイバー攻撃者は、システムの脆弱性や設定ミスなど技術的な欠陥を悪用して侵入を試みることもありますが、最も簡単な方法は、コミュニケーションツールを使って、標的組織内部の「人」を騙し、目的のマルウェアを実行させたり（受信者からすればクリックして実行しただけ）、情報を聞き出したりすることでしょう（フィッシングメールなど）。このコミュニケーションツールの代表格が「メール」です。

組織内外含め、相手とのコミュニケーションにメールを一切使用しない組織はまだごく稀です。サイバー攻撃者もこの点を理解しており、メールを悪用したサイバー攻撃は、依然サイバー攻撃者がよく好む攻撃手法です。定期的にフィッシングメールに対する攻撃訓練を行い、従業員の意識向上に取り組む組織も多い一方で、攻撃手法もますます巧妙化しています。

実際、2022年にトレンドマイクロ製品がブロックした脅威約1,464億件のうち、55％がメールに関する脅威でした。

図1：2022年にトレンドマイクロがブロックした総脅威数の脅威毎の割合
（トレンドマイクロ「2022年年間サイバーセキュリティレポート」より）

さらに、トレンドマイクロの別の調査では、2022年にメールに添付されたマルウェア約420万件のうち、既知のマルウェアは前年比32％減少しましたが、一方で未知のマルウェアは前年比46％増加しています。メール添付されたマルウェアの大半は、従来の対策のみでは初期段階での検知が難しい、それほどメールによる攻撃は高度化していると言えるでしょう。

図2：2022年にトレンドマイクロが検知したメールに添付されたマルウェア数の推移
（トレンドマイクロセキュリティブログより）

そのため、組織が導入しているEDR（Endpoint Detection and Response）などのセキュリティ製品で何らかのセキュリティインシデントが検出された際、真っ先に侵入起点としてメールを疑う読者の方も多いのではないでしょうか？そしてメールが脅威の侵入起点であった場合、SOCの解析者やセキュリティ担当者は、不審なメールの調査・分析を行い、インシデントの根本原因を特定していく必要性に迫られます。

メール起点の脅威に対しEDRはどこまで調査ができるのか？

組織内ネットワークに侵入した脅威の検出・対応を行うために、EDRを導入し運用している組織も多くなっています。ではEDRでは、メールを起点とする脅威に対しどこまで調査ができるのでしょうか？

EDRは、エンドポイント端末（PCやサーバなど）上で確認された情報をテレメトリとして収集・分析し、可視化することで、インシデント対応を支援する機能です。具体的には、正・不正を問わず、ファイルの作成や削除、アプリケーションの起動、ファイルの送受信などの挙動を収集し、セキュリティベンダーが過去に確認したサイバー攻撃の手法などと照らし合わせ、不審な振る舞いに優先順位をつけ、対処すべきイベントを提示するほか、脅威の侵入プロセスを視覚的にわかりやすく表示します。

仮にメールを侵入起点とする攻撃において、不審なファイルの実行や不審なURLのアクセスなど攻撃の後段階をEDRで検知した場合を考えてみましょう。EDRを使ってエンドポイント内での一連の侵入プロセスを可視化したプロセスチェーンを辿ることで、メール起点の攻撃であることまでは確認することができます。図３は、エンドポイントで不審なURLへのアクセスの検出が行われた際のEDRの管理画面サンプルですが、可視化されたプロセスチェーンがOutlookから始まっており、メール起点であることがわかります。

ただし、EDRの可視化範囲はあくまでセンサーが導入されているエンドポイントのため、メールの送信者／受信者、メールの件名、メール内に記載されていたリンクなど、メールの詳細な情報まではわかりません。そのため、セキュリティ担当者は、EDRでの調査結果とメールサーバの送受信ログを突合して被疑メールを調査しなければならず、根本原因を探るには、結局担当者の作業が必要となってしまいます。

メール起点の脅威の効率的な調査と対応を実現するXDR

そこで有用なのがXDRです。XDR(Extended Detection Response)は、その名前が示す通り、EDRを他のセキュリティ製品に拡張して検知と対応を行う概念です。XDRでは、エンドポイントに加え、メール、サーバ、クラウドワークロード、ネットワークなどの複数のセキュリティレイヤから、正・不正問わずファイルやプロセスに対するアクティビティデータであるテレメトリを収集し、相関分析して可視化し、サイバー攻撃の有無や対処すべき事項を自動で検出します。今回のテーマで言えば、「メールセキュリティ製品」もXDRのセンサー範囲に含まれるため、XDRと連携可能なメール関連の製品があればそのログの相関分析も可能となります。

エンドポイントとメールのテレメトリを相関分析可能なXDRでは、エンドポイントでの情報とメールの情報が相関分析して可視化されるため、セキュリティ担当者がEDRの情報をもとにメール側の送受信ログを突合して被疑メールを調査して分析し、根本原因を把握していくという地道で工数のかかるタスクを行っていく必要はありません。また、XDRの調査で判明した事項をもとに対策を立てられるようになり、効率的な調査と対応を実現することができます。

ChatGPTを代表とする生成系AIの台頭で、日本語という海外の攻撃者からすると言語の壁があった日本においても、高度な内容を伴った不正メールを用いて、マルウェア添付やBEC（ビジネスメール詐欺）、フィッシング詐欺が行われ、被害がさらに拡大するリスクが高まる可能性があります。冒頭で触れたように、「人は騙されやすい」ため、注意喚起やセキュリティ教育など人の注意力に頼る対策をどんなに行ったとしても、抜本的には被害を防ぐのが難しいと言えます。

参考記事：ビジネスメール詐欺（BEC）による被害とは？～ランサムウェアの9倍以上の被害をもたらす犯罪の実像を分析～

組織は、事後対策を前提とした体制を構築し、インシデントを速やかに検出し対応していくことが求められています。脅威の多くはメールを侵入起点としているため、エンドポイントとメールにおけるテレメトリ（脅威の解析情報）を相関分析させたXDRを用いることで、より効率的にセキュリティインシデントの根本原因を把握し、有効な対策を迅速に施すことができるようになります。

XDRの機能については、こちらで解説しています。