当サイトのクッキーについて IBM のWeb サイトは正常に機能するためにいくつかの Cookie を必要とします(必須)。 このほか、サイト使用状況の分析、ユーザー・エクスペリエンスの向上、広告宣伝のために、お客様の同意を得て、その他の Cookie を使用することがあります。 詳細については、オプションをご確認ください。 IBMのWebサイトにアクセスすることにより、IBMのプライバシー・ステートメントに記載されているように情報を処理することに同意するものとします。 円滑なナビゲーションのため、お客様の Cookie 設定は、 ここに記載されている IBM Web ドメイン間で共有されます。
重要インフラの保護
IBM Security QRadar EDR を使用して、ウォーター管理施設に対する高度に洗練されたサプライチェーン攻撃を追跡する
外国の脅威アクターが、約 100 万人に水を供給する役割を担うヨーロッパのウォーター管理施設を標的にしました。施設は当初、新しいアクティビティーが正当なものであると想定します。アタッカーはサーバーを侵害し、ランサムウェア・ベースのフォレンジック対策をデプロイします。
セキュリティー上の課題
- 地域の水道を担う重要インフラとしての脆弱な立場
- ファイルレスの脅威やラテラルムーブメントに対する検出およびハンティング機能はない
- ランサムウェア保護の欠如
- エンドポイント・セキュリティーに割り当てられる限定リソース
重要なインフラストラクチャーの場所では、複雑化するサイバー・リスクと、高度な脅威アクターによる機密漏れの増加に対処するために継続的に適応する必要があります。管理されているリソースの種類により、重要なインフラストラクチャーは、影響の大きい攻撃や機密性の高いデータの漏えいにとって理想的なターゲットとなります。
従来のネットワーク分析ツールとは別に、ウォーター管理施設にはエンドポイント・モニタリングは実施されておらず、攻撃が発生した場合の対応機能もありませんでした。 そのツールでは、ラテラルムーブメントなど、エンドポイント間の操作のトラッキングを許可しませんでした。 さらに、ITリソースが全体的に不足していたため、オペレーターはE メール、DNS、VPN、ファイアウォールなどの重要なサービスを管理するために外部プロバイダーを雇う必要があり、複数の異種プロバイダーの取り組みを調整することがさらに複雑になりました。
秒
感染したネットワーク・セグメントを数秒で駆除し、国民への重要なサービスをブロックする可能性のある損傷を回避しました
2 日間
データの損失、重要なサービスの中断、エンドポイントへの損傷を発生させることなく、2 日以内 にインシデントを正常に終了しました。
この攻撃は、ランサムウェアが展開される前のステージでは10 数台のデバイスを巻き込み、その後は数千台のデバイスを巻き込みました。
ソリューションの概要:
- IBM Security® QRadar® EDR は NanoOS を使用します。NanoOS は、検出不可能であるように設計されており、エンドポイントとインフラストラクチャー全体にわたって優れたレベルの可視性を提供します。
- ラテラルムーブメントと異常なログイン試行をネイティブに追跡します
- ランサムウェア攻撃に対するネイティブ保護を提供します
- 非常に複雑なインシデントのトラッキングと再構築を可能にする強力な脅威ハンティング・インターフェイスを提供します。
この水道管理施設では、施設内のすべてのサーバー、デスクトップ、ラップトップで IBM Security QRadar EDR ソフトウェアを実行し、すべての資産を継続的に監視し、潜在的なセキュリティー侵害を迅速に追跡および調査しました。このソリューションに標準装備のデュアルAIエンジンと詳細な行動分析により、クライアントはインフラストラクチャーを完全に可視化できるようになり、エンドポイントへのリアルタイムのクエリや、侵害の指標(IOC)と行動の指標(IOB)の両方の拡張検索、さらに高度なデータ・マイニングによって休止中の脅威を発見できるようになりました。
デプロイメントから半年後、QRadar EDRエージェントは初期の変則的なアクティビティーを検知し、攻撃者が特定のデータ・セットにアクセスするまでの道のりを追跡しました。 クライアントの既存のアンチウイルス・ソフトウェアと侵入検知システム(IDS)は、攻撃の最後の段階までアクティビティーを検知しませんでした。 もしクライアントがQRadar EDRを導入していなければ、攻撃者はデータの取得と流出に成功していたでしょう。
サプライチェーン攻撃
最初の侵害が発生した日に、QRadar EDRは、VPNサーバーから権限のないネットワーク・セグメントのエンドポイントへの不審なログインを報告しました。 セキュリティー・チームは、ログインは外部のセキュリティー・プロバイダーによるメンテナンス作業によるものであると想定し、インシデントには低い優先度を割り当てました。 攻撃者は、主にネットワーク・セグメントをマッピングして特権ネットワークへの直接経路を探すために使用される初期マルウェアをデプロイしました。 そのような経路が見つからなかったため、攻撃者は認証情報を収集してその後のラテラルムーブメントで再利用するための2つ目のインメモリー・マルウェアをデプロイしました。 認証情報を取得すると、攻撃者はドメイン・コントローラーに移動し、その後すぐに内部文書が含まれるファイル・サーバーに移動しました。
根本原因分析
最初の変則的なログインは、シフト時間外に、通常はサーバーと通信するがワークステーションとは通信しないエンドポイントから発生しました。VPN チャネルは、VPN 自体に加えてメール・サーバーとファイアウォールの保守も担当する外部プロバイダーによって管理されていました。アクセスの性質上、アラートはすべての操作を追跡するためにアクティブに維持されましたが、その時点で、社内のセキュリティ・チームは、プロバイダーがインフラストラクチャーのメンテナンスを行っているとして、このイベントの優先度を低く設定しました。
翌日、QRadar EDRは2つ目のアラートを発し、内部ネットワークのスキャンに使用される軽量のマルウェアのアクティビティーを示し、すぐにキーロギングとクレデンシャル・ハーベスティング機能を持つインメモリー内のベクターの存在を示す別のアラートが続きました。 その時点で、セキュリティー・チームはこれらのイベントに焦点を当て、脅威ハンティング・セッションを開始し、一方、攻撃者は一連のラテラル・ムーブメントを通じて、最終的にドメイン・コントローラーの 1 つにアクセスすることに成功しました。チームは、NanoOS テクノロジーの不可視性を利用して、可能な限り長期間アタッカーを追跡し続け、手口とその目的を理解することにしました。
アタッカーが機密情報を含むファイル・サーバーにアクセスしようとしたため、チームは攻撃を阻止し、根絶計画を開始することを決定しました。さまざまなデバイスが修復されている間に、アタッカー達は、高レベルのアクセスにもかかわらず、探している情報にアクセスできないことに気づきました。彼らは発見されたと判断し、インフラストラクチャー全体にランサムウェアをデプロイして、その痕跡を隠蔽しました。
攻撃と再構築
攻撃の動機が明確になったら、オペレーターはインフラストラクチャーの弱点を補強するために攻撃全体を理解する必要がありました。この攻撃には、ランサムウェアの展開段階(フェーズ 1)の前には 12 台のデバイスが関与し、その後(フェーズ 2)には数千台のデバイスが関与しました。
攻撃者は、VPN およびメール・サーバー・プロバイダーへのアクセスを取得し、内部ネットワークへの最初のエントリー・ポイントとして使用しました。アタッカー達はプロバイダーの資格情報を再利用して別のマシンに移動し、最終的に特定のワークステーションに落ち着きました。その時点で、彼らは一連のツールを使用して内部ネットワークをスキャンし、ラテラル・ムーブメントのターゲットを特定しました。最終ステージでは、ドメイン・コントローラー自体を使用して、すべてのデバイスにランサムウェアを拡散させました。
クライアントは、QRadar EDR の修復モジュールを使用してクリーンアップ・プロセスを自動化し、ソリューションのランサムウェア対策保護を使用してデータ損失と運用中断を防止しました。
ウォーター管理施設は VPN アクセスを確保し、アタッカーがアクセスできたすべてのマシンを特定する脅威ハンティング・セッションを実施しました。QRadar EDR 修復モジュールによってクリーンアップ・プロセスが自動化され、セグメントは数秒でクリーンアップされました。この施設は、偵察とラテラル・ムーブメントの段階で使用されたすべてのツールを取得し、IOC と行動を含むポリシーをインフラストラクチャー全体に即座に広めました。ポリシーのデプロイメント後に、追加の侵害されたホストは特定されませんでした。すべてのユーザーの資格情報がリセットされ、このランサムウェア攻撃は、クライアントがすべてのデバイスに対してQRadar EDRによるランサムウェア対策を有効にしていたため、それ以上の介入は必要ありませんでした。それにより重要な情報の損失と通常アクティビティーの中断を防ぐことができました。
この施設は、データの損失、重要なサービスの中断、エンドポイントへの損傷を発生させることなく、2 日目に機能不良を正常にクローズ済みました。
もしこの施設がQRadar EDRを採用していなかったら、アタッカーは確実に機密情報を流出させていただろうし、長期間にわたって活動を続け、最終的にはランサムウェア攻撃によってインフラ全体が使用不能になっていたかもしれません。 このようなアタックは、地域の住民に不可欠なサービスを提供し続ける施設の能力に多大な影響を及ぼし、サービスを完全に遮断する可能性がありました。サプライチェーン攻撃を特定するのが難しいことを考えると、侵害の根本原因を特定するためのフォレンジック情報が入手できなかった場合、同じチャネルを通じて施設が再び侵害された可能性があります。
法務
© Copyright IBM Corporation 2023.日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
2023年6月、米国で制作
IBM、IBMのロゴ、IBM Security、QRader は、米国およびその他の国々におけるIBMの商標です。その他の製品名およびサービス名は、IBMまたは他社の商標である可能性があります。IBMの商標の最新リストは、 ibm.com/tradementでご覧いただけます。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。
IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
引用または説明されているすべての事例は、一部のクライアントがIBM製品を使用し、達成した結果の例として提示されています。実際の環境でのコストや結果の特性は、クライアントごとの構成や条件によって異なります。お客様のシステムおよびご注文のサービス内容によって異なりますので、一般的に期待される結果を提供することはできません。本書の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティー慣行に関する声明:完全に安全であるITシステムまたは製品は、ないものと考えてください。また、不適切な使用やアクセスを、効果的かつ完全に防止できる単一の製品、サービスまたはセキュリティー対策もありません。 IBMでは、いずれの当事者による不正行為または違法行為によっても、いかなるシステム、製品もしくはサービスまたはお客様の企業に対して影響が及ばないことを保証することはありません。
