コンプライアンス
最新のATT&CK Evaluations(Carbanak, FIN7)におけるトレンドマイクロの評価結果
本記事では、2021年に結果が公表されたATT&CK Evaluations(Carbanak、FIN7)におけるトレンドマイクロの評価結果に焦点を当てて解説いたします。
MITRE EngenuityによるATT&CK Evaluationsは、特定のサイバー犯罪者グループの攻撃に対するセキュリティベンダの検知能力の評価を行うものです。一方で、ベンダに対する採点や順位付けなどの評定は行いません。かわりに、特定のサイバー犯罪者グループによる攻撃をセキュリティベンダがどのように検知するか、完全な透明性をもって企業や組織が理解できるようにします。この際、ATT&CK フレームワークに沿った評価を行うことで、攻撃の全体像に対する検出状況を把握することが可能になります。
法人組織のセキュリティチームは、MITRE ATT&CK フレームワークを様々な用途で活用できます。例えば、MITRE ATT&CK フレームワークの情報を基に攻撃を再現することで、自組織の既存の対策における脆弱な箇所を発見することができます。あるいは、ATT&CK Evaluationsの結果をもとにセキュリティベンダを比較し、自組織のセキュリティギャップを埋めるのに最適なソリューションがどれかを判断することができます。セキュリティの可視性が強化されることでソリューションが重複している部分を特定することができるため、コストを最適化することも可能になります。
本記事では、2021年に結果が公表されたATT&CK Evaluations(Carbanak、FIN7)におけるトレンドマイクロの評価結果に焦点を当てて解説いたします。今回の評価にあたりシミュレーションされたCarbanakおよびFIN7の攻撃手法については以下のブログをご参照ください。
参考:サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説
各段階における分析項目や、注目される部分といった実際の評価の内容を説明する前に、今回の評価で使用された攻撃シナリオについて解説します。MITRE Engenuity のATT&CK Evaluationsでは、実際の標的型攻撃(APT)を模したシミュレーションを構築し、特定のサイバー犯罪者グループが利用する戦術・手法・手順をシミュレートしています。今年は、金銭的利益を目的とする類似した2つのサイバー犯罪者グループとして1日目に「Carbanak」、2日目に「FIN7」による攻撃のシミュレーションが行われ、合計174以上の段階がテストされました。
MITRE Engenuity のATT&CK Evaluationsでは、標的型攻撃の不正活動を検知する製品の能力をテストします。つまり従来のテストとは異なり、MITRE Engenuityは侵入・侵害が発生した後の不正活動に対する製品の検出能力に焦点を当てています。しかし、今年はオプションの評価として、侵入を防御する能力もテストされました。これは、進行中の脅威を検知し、被害が拡大する前にそれを防止する機能についても検証するためです。
今回の攻撃シナリオ(Carbanak・FIN7)の概要を解説 ■添付ファイルを開封させて初期侵入を行う
MITRE Engenuityの ATT&CK Evaluationsのシナリオは、標的がいずれの場合でも、重要な管理責任者を狙うところから始まります。シミュレーションの中で、攻撃者は不正なファイルを添付したスピアフィッシングメール(標的型メール)を管理責任者に送信します。この手法ではユーザを欺いて添付ファイルを開封させなければなりません。管理責任者が添付ファイルを開封すると、攻撃者に最初のアクセスが許可されます。
図1:「Trend Micro Vision One」の検出状況
Technique(手法)「User Execution of Office Related Document(Office関連文書のユーザ実行)」を検出(ユーザが2-list.rtfをクリックし、explorer.exeによってwinword.exeが生成された)
■活動持続化・セキュリティ回避によるアクセスの維持
攻撃者は、組織のネットワークへの侵入に成功すると、目的を達成するために必要な情報を収集します。攻撃者の活動には、いくつかの戦術があります。攻撃者は攻撃活動の持続化およびソリューションの検出回避によってアクセスを維持することを試みます。
図2:「Trend Micro Vision One」の検出状況
powershell.exeがCopyFromScreen()を実行すると、Technique(手法)「Clipboard Data or Screenshot Collection via PowerShell(PowerShellでクリップボードおよびスクリーンショットを収集)」を検出
次に、攻撃者は特権昇格を実行します。特権昇格とは、既存のシステムの弱点、設定ミス、脆弱性などを利用してより高い権限を獲得することです。その後、認証情報にアクセスして収集し、目的達成のために必要なシステムを検索します。
図3:「Trend Micro Vision One」の検出状況
(Mimikatzを使用した認証情報ダンピングの攻撃チェーンをまとめて表示している)
どちらの攻撃グループも金銭的な利益を目的としているため、最高値で転売できる情報を検索します。過去、CarbanakとFin7は、個人を特定できる情報(PII)およびクレジットカード情報を収集対象としてきました。
■ラテラルムーブメント(水平移動)による攻撃拡大
攻撃グループは、ラテラルムーブメントによって探し出したシステムを不正に制御し、狙った機密情報を収集します。この段階は攻撃を検知するための重要なポイントになります。水平移動中の攻撃者がまだネットワーク内に存在している場合、システム全体におけるイベントデータを関連付けることによって、攻撃者が機密情報を持ち出す前に排除することが可能になります。
図4 :「Trend Micro Vision One」の検出状況
(相互に関連するイベントを示している)
Trend Micro Vision Oneはこの段階においても大変有用です。ネットワークやエンドポイントのさまざまなレイヤからの脅威データを収集し、自動的に相関分析を行い、セキュリティチームにアラートを提供します。発生した個々のイベントについてだけではなく、それらが関連する可能性、特定の攻撃グループや攻撃タイプに類似する「侵入の痕跡(Indicators of Compromise、IoC)」があるかなど、点と点を結びつける機能を備えています。
今回の評価を行う3つのシミュレーション
第一のシミュレーションは、サイバー犯罪者グループ「Carbanak」を再現した攻撃でした。このグループは主に銀行をターゲットにしていました。攻撃ではまず人事部の管理責任者が侵入口となり、次にラテラルムーブメントによってCFO(最高財務責任者)のシステムを特定し、そこから機密情報の収集や、偽装送金指示が実行されました。
図5: Carbanak評価環境での、検知と防御の両シナリオにおけるトレンドマイクロのソリューション配置
第二のシミュレーションでは、サイバー犯罪者グループ「Fin7」がホテルチェーンへの攻撃を開始し、侵入口としてホテルの管理責任者を狙います。管理責任者は、攻撃者グループが認証情報を収集して次の標的システムを発見するまでのアクセスポイントとして利用され、そこからIT管理システムへラテラルムーブメントして会計システムへ侵入、活動を持続化させ、顧客の支払い情報を収集する、というシナリオです。
図6:FIN7評価環境での、検知と防御の両シナリオにおけるトレンドマイクロのソリューション配置
第三のシナリオでは、96のテストを含む10種類の攻撃シナリオをシミュレートし、攻撃の「検出」ではなく攻撃される可能性がある脆弱な箇所のリスクを減らす「予防(防御)」についてテストされました。これは不審者の侵入を記録する監視カメラを利用する代わりに、玄関を施錠する試みと考えることができます。検知だけではなく予防を行うことは、このような高度な脅威から防御するための重要な鍵となります。
図7:「Trend Micro Apex One」での防御
(フィッシングメールのマクロによる初期侵入をふるまい検知で防御)
トレンドマイクロの評価結果
トレンドマイクロが提供するサイバーセキュリティプラットフォーム「Trend Micro Vision One™」による今回のATT&CK Evaluationsの結果は次の通りでした。
- 全体の174サブステップのうち167を可視化(全体の96%をカバー)
- Linuxのシミュレーションでは12サブステップのうち12の攻撃を捕捉(攻撃の100%検知)
- 139のTelemetryをより詳細に分析した結果(General、Tactic、Technique)として検知
- 各テストの早い段階で攻撃シミュレーションの90%を自動検出・応答により防御
ATT&CK Evaluationsの結果を理解するうえで重要な考え方
ATT&CK Evaluationsでセキュリティベンダのパフォーマンスを評価する際には、検知結果に付与される以下5つの検知カテゴリを理解する必要があります。
1. None(なし):
テストの挙動に関するデータが無かったことを示します。(しかし、検知が行われなかったことを意味するものではなく、MITRE Engenuityが要求する検知基準を満たさなかったことを意味します)
2. Telemetry(テレメトリ):
検知対象のプロセスに関連するイベントが発生したことを示します。
3. General(全般):
全般的な検知から不正または異常なイベントが発生したことを示します。しかしながら、特定のTactic(戦術)やTechnique(手法)の情報は無いor限定的でした。
4. Tactic(戦術):
ATT&CKのTactic(戦術・目的)(例:認証情報へのアクセス)または同等の情報が特定できる状態です。
5. Technique(手法):
ATT&CKのTechnique(特定の攻撃手法)(例:認証情報のダンプ)または同等の情報が特定できる状態です。
General(全般)、Tactic(戦術)、Technique(手法)に分類された検知結果は、単なるTelemetryとしての検出よりも詳細に脅威を捉えることができていることを示します。TechniqueおよびTacticの検知は、攻撃を詳細に説明するために利用できます。このことから、General、Tactic、Techniqueの検知は、セキュリティベンダにおいて優先順位の高いものの一つと理解されています。
Tactic(戦術)は物語の「chapter(章)」に例えることができます。CISO(最高情報セキュリティ責任者)は、攻撃に使用された戦術から攻撃のシナリオについて概説し、その後、Technique(手法)を参照して、どのように攻撃が実行されたか詳細を捕捉することができます。
図8:CarbanakとFIN7のシミュレーションでは、11のATT&CK Tactic(戦術)にまたがる65のATT&CK Technique(手法)が評価の対象となった
そのため、セキュリティベンダを評価する際に最も重要となるのは、General(全般)、Tactic(戦術)、Technique(手法)としての検知数となります。
Telemetry(テレメトリ)は、セキュリティアナリストが攻撃の痕跡にアクセスすることを可能にし、攻撃者の活動全体を調査する際に必要となる材料を提供します。データ(攻撃の痕跡)はアクセスできるだけでなく、そのデータが攻撃の状況を理解できることが重要です。
トレンドマイクロでは、これをユーザの分析力に委ねるのではなく、データの相関分析を提供することで攻撃状況の理解を促進します。あるいは、ユーザはTrend Micro Vision Oneを利用することで、MITRE ATT&CKフレームワークとの関連性をさらに調査する、または特定の攻撃タイプや攻撃者グループに関する情報を入手できます。
図9:Telemetry(テレメトリ)を必要とする組織もあれば、Technique(手法)の検知を必要とする組織もある
Trend Micro Vision Oneのプラットフォームは、攻撃シミュレーションの環境全体を可視化し、集中型の検知と調査を可能にすることで、CarbanakとFIN7の攻撃の検知に成功しました。167以上のTelemetryを収集し、これらのうち139以上をより詳細な情報として関連付けることで、攻撃グループが何を意図していたかを明確に示すことができました。
別に実施された第三のシミュレーションでは、リスク回避のための防御策がテストされました。これはオプションの防御のシナリオで、全29社のうちトレンドマイクロを含む17社のセキュリティベンダが参加しました。このテストでトレンドマイクロは、90%のシミュレーションを自動的にブロックするなど、非常に優れた成績を収めました。また、Linuxサーバが導入された今年の評価における特筆すべき点は、攻撃シミュレーションのシナリオで実行された14種類のTechnique(手法)を弊社ではすべて検知したことです。
Trend Micro Vision Oneによる評価結果および詳細についてはこちらをご覧ください。
参考記事:
- 「The Storybook Approach to MITRE ATT&CK」
By Trend Micro
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)