マルウェア対策では防げない「Living off the Land(自給自足/環境寄生型)」攻撃とは?その防御方法を解説

 2019.11.08  EDR実践ポータル

Living Off the landという言葉をご存知でしょうか?日本語に訳すと「その土地のものを食べて暮らす」という意味であり、つまりその環境に自然に溶け込み自給自足をするという意味になります。そして、セキュリティの世界においても「Living Off the land(自給自足/環境寄生型)」が大きな問題となり企業を悩ませています。

今回は、Living Off the land攻撃(自給自足/環境寄生型攻撃)についてご紹介し、その対策方法に関して説明いたします。

living-off-the-land

Living Off the land攻撃とは?

残念ながらセキュリティ対策を講じる際に、あらゆる攻撃から脅威を特定する万能薬は存在しません。高度な脅威をブロックする機能は年々向上しています。しかし、さらに高度な技術を身に着けた攻撃者の技術も素早い進化を遂げています。

さらに攻撃者が企業や組織で普段使っているようなツールを使って攻撃を密かに仕掛ける場合には、その検知は非常に難しくなることは容易に想像つくのではないでしょうか。攻撃者が使う専門的なツールやマルウェアではなく、一般社員が使うようなツールを使うため検知することが難しいのです。この攻撃こそが「Living Off the land攻撃(自給自足/環境寄生型攻撃)」(以下、LOTL)であり、この手法はシステム上に備わっているネイティブツールを使用して、攻撃者グループの主目的を達成するものとして最近急激に増えてきたものです。

 

増え続けるLiving Off the land攻撃と脅威

マルウェアを使用しないLOTL手法は、ここ数年のサイバースパイ活動で頻繁に用いられています。『CrowdStrike® 2019年版グローバル脅威レポート』によるとLOTL手法は、サイバー攻撃全体の実に40%を締めるまでに増えています。つまり、攻撃者はLOTLのような手法を使い、従来の防御では不可能な一般人に紛れ込むように活動を行なっているのです。もちろん、攻撃者が環境内で検知されずに長く居座ることができれば、業務やその他のデータを探して持ち出したり、破壊するチャンスが増えたりすることになります。また、気付かれない間は縦横無尽に企業活動全体の情報を搾取し続けられるのです。

 

LOTL手法の防御策

LOTL手法を用いた攻撃者は、環境内に存在する既存の機能やツールを使用することで、ターゲット企業や組織に溶け込み、正当な従業員やプロセスに紛れて自分たちの活動を隠蔽しようとします。また、企業が悪質な活動を検知したとしても、それが攻撃に結びついているかの判断は非常に難しいものとなります。さらには攻撃者の特定も難しいと言えるでしょう。LOTL手法は、それくらい厄介なものでありあらゆる企業や組織が今後、頭を悩ます脅威と言えるのです。

それでは企業はLOTL手法による攻撃に対してどのように対応すれば良いのでしょうか。現在の情報セキュリティ対策の盲点、欠点をついているこのような攻撃から予防し、防御することはできるのでしょうか?

侵害アセスメント

侵害アセスメント(CA)は、「侵害を受けているか?」という重要な問いに対し、簡潔な答えを提供します。CAでは、現在と過去のイベントを精査して侵害の有無を確認します。そのために、例えば不審なレジストリキーや出力ファイルなどの過去の攻撃の兆候とともに、現在活動中の脅威も特定できるツールを使用します。一般的に、高度な技術を持った攻撃者は、企業のネットワーク内に、数か月あるいは数年もの間検知を逃れて潜伏しています。CAの過去データ分析機能は、このような状態を検出するために必要不可欠となります。

マネージド型脅威ハンティング

脅威ハンティングは、密かに繰り広げられる攻撃を甚大な被害をもたらす前に食い止めるために、多くの企業が採用している重要な手法です。マネージド型脅威ハンティングサービスでは、ベテランの脅威ハンターチームが企業のセキュリティデータを調べ、高度な攻撃を示すわずかな兆候がないかを検査します。マネージド型脅威ハンティングサービスは、あらゆる企業に存在する重大なセキュリティ上の欠点を埋めるようにオーダーメードされます。たとえOSの正規ツールを利用していたとしても、不自然なところがあれば検知することができるのがこのサービスです。

サイレント障害(Silent failure)を防止するEDR

どれだけ高度なセキュリティ対策を講じていても、残念ながら攻撃者が企業内に入り込むという可能性は避けられないものです。従来型の防御機能ではそのような状況に気づくことができず、気付かないうちにセキュリティ侵害に遭っている状態、つまりサイレント侵害に陥ります。ひとたび、このサイレント侵害に陥ると従来型の防御システムでは検知できずに、攻撃者が数日、数週間、ときには数か月もの間、環境内に住み着くことになります。そのため、より多くの企業がEndpoint Detection and Response(EDR)ソリューションの導入を検討しています。EDRは、環境内のエンドポイント上で何が起きているかを継続的かつ包括的にリアルタイムで可視化しながら、既存の防御機能では適切に処理できなかったインシデントに対応します。正規ツールが利用されたと『点』を見るのではなく、プロセス全体の流れから攻撃に正規ツールが使われていることを可視化できるのがEDRです。

アカウントモニタリング

アカウントモニタリングとマネジメントコントロール機能では、企業環境全体の可視性を提供することで不正なアクティビティの検知・防止を実現します。悪質なアクティビティによるデータの流出やクレデンシャルの悪用を防止するとともに、リソースの所有者がデータにアクセスする人物を管理したり、不正なアクセスが許可されていないかを確認したりできるようにします。

アプリケーションインベントリ

アプリケーションインベントリは、更新ファイルやパッチが適用されていないアプリケーションやオペレーティングシステムを認識します。そのため、企業の環境内のすべてのアプリケーションを安全に管理できます。ITハイジーンソリューションを使用して企業のアプリケーションインベントリを効率化することにより、セキュリティとコストの問題を同時に解決できます。ITハイジーンソリューションによって得られる可視性により、パッチやシステムアップデートに関連する脆弱性をついた攻撃を防ぐことが可能になります。また、ソフトウェアの正しい構成の確認も行うことができるため企業内のITを最適化できます。アプリケーションの使用状況に関するリアルタイムのビューと過去のビューを確認することで、使用していないソフトウェアを特定することも可能になり、削除することで攻撃の確率を下げるだけでなく不要なライセンス料金を払う必要もなくなるのです。使用状況で一般従業員のエンドポイントで動くべき正規ツールなのかどうかもLOTL判断に活用できます。

資産インベントリ

資産インベントリ機能では、ネットワーク上で実行中のマシンを表示し、セキュリティアーキテクチャーを効果的に展開することができるようになります。このことから不正なシステムがバックグラウンドで動作していないことを確認できるようになります。また、情報セキュリティ担当者は、環境内の資産を管理対象、管理対象外、管理不能のように区別して、全体的なセキュリティの向上のために適切な措置を講じることが可能になります。

 

*原文はCrowdStrike Blog サイト掲載:https://www.crowdstrike.com/blog/going-beyond-malware-the-rise-of-living-off-the-land-attacks/

ENDPOINT DETECTION AND RESPONSE

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「EDR」の最新記事


マルウェア対策では防げない「Living off the Land(自給自足/環境寄生型)」攻撃とは?その防御方法を解説
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング