世界最大の空港の 1 つでは、セキュリティーから物流に至るまでの内部業務を管理するためにエアギャップ・ネットワークを運用しています。空港の隔離された性質にもかかわらず、いくつかのデバイスがローカルで情報を取得して保存できるマルウェアに感染していることが判明しました。
セキュリティー上の課題
この主要国際空港は世界最大の交通ハブの 1 つであり、1 日あたり 1000 便以上の便があり、年間 7000 万人の乗客が便を利用しています。空港は全体的に非常に優れたセキュリティー・プロトコルに従っていました。いくつかの重要なサービスを運用し、インターネットからの感染を防ぐために、完全に隔離されたネットワークを採用しました。しかし、エア・ギャップのあるネットワークは誤った安全感を生み出しました。エア・ギャップギャップ内のすべての装置はインターネットにアクセスできませんでしたが、内部のすべてのネットワーク・セグメントはトラフィック制御なしで相互に接続されていました。
さらに、エア・ギャップ・ネットワークには、情報キオスクなど、一般の人々が物理的にアクセスできるデバイスが含まれており、必要不可欠なサービスが潜在的な攻撃にさらされたままになっていました。さらに、外部から内部に情報を持ち込む唯一の手段は USB ドライブを使用することであり、エンドポイントは空港従業員によって無意識に持ち込まれる潜在的なマルウェアに対して脆弱なままでした。
この空港では 1 日あたり 1000 便以上のフライトが運航されています
年間7千万人の乗客にサービスを提供しています
QRadar EDR によって提供される可視性により、空港の事業継続性を中断することなく、インシデントを最初から再現し、感染を安全に修復することができました。
ソリューションの概要:
一部のエンドポイントのスローダウンしたように見えたため、空港は IBM Security QRadar EDR ソフトウェアを使用してエア・ギャップ・ネットワーク内の衛生チェックを実行しました。QRadar EDR がイニシャル・セグメントにデプロイされると、エンジンは少数のデバイスからの潜在的に悪意のあるアクティビティを検出しました。当初の分析では、最初のエントリー・ポイントとして公的にアクセス可能なキオスクが指摘されましたが、その後の分析により、今回はチェックイン・エリアにあるデバイスからの 2 番目のエントリー・ポイントが明らかになりました。これら 2 つの悪意のあるベクターは、異なるネットワーク・セグメントに接続する限られた数のデバイスになんとか拡散しました。
QRadar EDR によって提供される可視性により、空港の事業継続性を中断することなく、インシデントを最初から再現し、感染を安全に修復することができました。
根本原因分析
最初の導入では、いくつかの動作異常にフラグが付けられました。 アプリケーションは、デフォルトのブラウザの非表示のインスタンスにメモリー内のキーロガーを挿入することによって、このキーロガーをインストールしました。その後、別のスレッドがなんとかディスクをスクラブして、Microsoft Word ファイル、PDF ファイル、Cookie、ブラウザー・データベースを探しました。この情報は隠しフォルダー内に収集され、コマンド・アンド・コントロール (C2) サーバーへの送信が定期的に試みられましたが、ネットワークが世界から完全に隔離されていたために失敗しました。
感染ベクターをさらに詳しく調べると、興味深い結果が得られました。ベクターは異常に大きく、ローカルのウイルス対策だけでなくサンドボックス分析もバイパスすることを目的とした一連のメカニズムが含まれていました。このようなシステムは通常、バイナリ全体の小さな部分をエミュレートするため、この大きなサイズはウイルス対策エミュレーション・エンジンを回避する試みの一部である可能性が最も高くなります。
最終的に、2 つの異なるベクターが特定されました。1 つはパブリック・キオスクにインストールされ、もう 1 つはチェックイン管理ネットワーク・センサーの一部であるデバイスにインストールされました 2 つのベクターは異なって見えましたが、原因は主に検出を回避するために使用された大量のジャンク命令でしたが、マルウェアは同じであるように見えました。 どちらの場合も、同じ C2 サーバーに接続しようとしており、同じように動作していました。
攻撃の再構築
QRadar EDR が侵害後にのみデプロイされる場合、すべての情報が利用できるわけではなく、ネイティブ・インフラストラクチャーは最小限のオペレーティング・システム・レベルのロギングのみを使用します。最小限の情報にもかかわらず、追跡分析により、感染は 5 か月前に発生し、2 つのエンドポイントは 2 つの異なる USB ドライブから数日離れて感染したことが示されました。 他のエンドポイントは、主に、マルウェアが接続可能なあらゆるデバイス上でランダムな間隔でマッチングを試みる脆弱なパスワードが原因で、これらのベクターのいずれかに感染しました。このマルウェアは継続的に情報を収集しており、保持制御を採用したり、自身のストレージに制限を適用したりする様子はありませんでした。C2 への接続は 8 時間ごとに試みられましたが、エア・ギャップのため成功しませんでした。
最終分析の結果、このマルウェアには自己複製機能があり、ストレージを外付け USB ドライブに自動的にコピーできるにもかかわらず、この機能が有効になっていないことが判明しました。おそらく、流出は手動で開始されることになっていました。
対応と修復
空港は、QRadar EDR の修復モジュールを使用して、感染したデバイスをクリーンアップし、特定されたストレージ・フォルダーを初期化して、データ漏えいを回避しました。このソリューションの脅威ハンティング・インターフェイスは、すでに特定されている感染デバイスを除き、インフラストラクチャー全体に同じベクターが存在しないことを確認するために不可欠であることが判明しました。空港はまた、他のデバイス上でマルウェアのインスタンスが検出されずに実行されていないことを確認するために、動作調査も実施しました。 インフラストラクチャーにそのベクターとその亜種が存在しないことを確認できるまで、特定されたすべての動作、持続的な脅威、およびデータ収集方法を追跡しました。
最後に、ローカル・セキュリティー・チームは、内部トラフィック制御のためのより厳格な一連のルールを確立しました。ネットワークのパブリック部分は運用から隔離され、ローカル・セキュリティー・チームは継続的なエンドポイント・モニタリングと定期的な脅威ハンティング・キャンペーンの実行を開始しました。
空港は、QRadar EDR の修復モジュールを使用して、感染したデバイスをクリーンアップし、データ漏えいを回避しました。このソリューションの脅威ハンティング・インターフェイスは、インフラストラクチャー全体にベクターが存在しないことを確認するのに役立ちました。
エア・ギャップは強力なレベルのセキュリティーを提供しますが、厳密な方法で実装されないと、誤った安心感が生じる可能性があります。攻撃の動機は不明なままですが、データは収集されたものの流出しなかったことから、アタッカーは情報を流出させるだけでなく、空港の運営に積極的に損害を与えるために、インフラストラクチャーへのオープンドアを持っていたと確信できます。 チェックイン・エリアに対して単純なランサムウェアが起動された場合、遅延は避けられなかったでしょう。同じ攻撃がセキュリティー・エリアに対して行われれば、飛行を完全に阻止でき、深刻な影響を引き起こしたでしょう。
© Copyright IBM Corporation 2023.日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
2023年6月、米国で制作
IBM、IBM LOGO、ibm.com、およびIBM QRaderは、世界の多くの国で法的に登録された、International Business Machines Corp.の商標です。その他の製品名およびサービス名は、IBMまたは他社の商標である可能性があります。IBM の商標の最新リストは、Web 上の「著作権および商標情報」( ibm.com/trademark ) で入手できます。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開しているすべての国で、すべての製品が利用できるわけではありません。
記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本書の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。