ソリューションの概要：

• この空港は、NanoOS テクノロジーを使用してエンドポイントとインフラストラクチャー全体の優れた可視性を実現する IBM® Security QRadar EDR ソフトウェアを導入しました。      
                
• QRadar EDR の動作エンジンは、分離されたネットワーク上でもパフォーマンスを低下させることなく動作します。
  
  
• 強力な脅威ハンティング機能を使用して、空港はインシデントを再構築して分析できます。

一部のエンドポイントのスローダウンしたように見えたため、空港は IBM Security QRadar EDR ソフトウェアを使用してエア・ギャップ・ネットワーク内の衛生チェックを実行しました。QRadar EDR がイニシャル・セグメントにデプロイされると、エンジンは少数のデバイスからの潜在的に悪意のあるアクティビティを検出しました。当初の分析では、最初のエントリー・ポイントとして公的にアクセス可能なキオスクが指摘されましたが、その後の分析により、今回はチェックイン・エリアにあるデバイスからの 2 番目のエントリー・ポイントが明らかになりました。これら 2 つの悪意のあるベクターは、異なるネットワーク・セグメントに接続する限られた数のデバイスになんとか拡散しました。

QRadar EDR によって提供される可視性により、空港の事業継続性を中断することなく、インシデントを最初から再現し、感染を安全に修復することができました。

根本原因分析

最初の導入では、いくつかの動作異常にフラグが付けられました。 アプリケーションは、デフォルトのブラウザの非表示のインスタンスにメモリー内のキーロガーを挿入することによって、このキーロガーをインストールしました。その後、別のスレッドがなんとかディスクをスクラブして、Microsoft Word ファイル、PDF ファイル、Cookie、ブラウザー・データベースを探しました。この情報は隠しフォルダー内に収集され、コマンド・アンド・コントロール (C2) サーバーへの送信が定期的に試みられましたが、ネットワークが世界から完全に隔離されていたために失敗しました。

感染ベクターをさらに詳しく調べると、興味深い結果が得られました。ベクターは異常に大きく、ローカルのウイルス対策だけでなくサンドボックス分析もバイパスすることを目的とした一連のメカニズムが含まれていました。このようなシステムは通常、バイナリ全体の小さな部分をエミュレートするため、この大きなサイズはウイルス対策エミュレーション・エンジンを回避する試みの一部である可能性が最も高くなります。

最終的に、2 つの異なるベクターが特定されました。1 つはパブリック・キオスクにインストールされ、もう 1 つはチェックイン管理ネットワーク・センサーの一部であるデバイスにインストールされました　2 つのベクターは異なって見えましたが、原因は主に検出を回避するために使用された大量のジャンク命令でしたが、マルウェアは同じであるように見えました。 どちらの場合も、同じ C2 サーバーに接続しようとしており、同じように動作していました。

攻撃の再構築

QRadar EDR が侵害後にのみデプロイされる場合、すべての情報が利用できるわけではなく、ネイティブ・インフラストラクチャーは最小限のオペレーティング・システム・レベルのロギングのみを使用します。最小限の情報にもかかわらず、追跡分析により、感染は 5 か月前に発生し、2 つのエンドポイントは 2 つの異なる USB ドライブから数日離れて感染したことが示されました。 他のエンドポイントは、主に、マルウェアが接続可能なあらゆるデバイス上でランダムな間隔でマッチングを試みる脆弱なパスワードが原因で、これらのベクターのいずれかに感染しました。このマルウェアは継続的に情報を収集しており、保持制御を採用したり、自身のストレージに制限を適用したりする様子はありませんでした。C2 への接続は 8 時間ごとに試みられましたが、エア・ギャップのため成功しませんでした。

最終分析の結果、このマルウェアには自己複製機能があり、ストレージを外付け USB ドライブに自動的にコピーできるにもかかわらず、この機能が有効になっていないことが判明しました。おそらく、流出は手動で開始されることになっていました。

対応と修復

空港は、QRadar EDR の修復モジュールを使用して、感染したデバイスをクリーンアップし、特定されたストレージ・フォルダーを初期化して、データ漏えいを回避しました。このソリューションの脅威ハンティング・インターフェイスは、すでに特定されている感染デバイスを除き、インフラストラクチャー全体に同じベクターが存在しないことを確認するために不可欠であることが判明しました。空港はまた、他のデバイス上でマルウェアのインスタンスが検出されずに実行されていないことを確認するために、動作調査も実施しました。 インフラストラクチャーにそのベクターとその亜種が存在しないことを確認できるまで、特定されたすべての動作、持続的な脅威、およびデータ収集方法を追跡しました。

最後に、ローカル・セキュリティー・チームは、内部トラフィック制御のためのより厳格な一連のルールを確立しました。ネットワークのパブリック部分は運用から隔離され、ローカル・セキュリティー・チームは継続的なエンドポイント・モニタリングと定期的な脅威ハンティング・キャンペーンの実行を開始しました。

エア・ギャップは強力なレベルのセキュリティーを提供しますが、厳密な方法で実装されないと、誤った安心感が生じる可能性があります。攻撃の動機は不明なままですが、データは収集されたものの流出しなかったことから、アタッカーは情報を流出させるだけでなく、空港の運営に積極的に損害を与えるために、インフラストラクチャーへのオープンドアを持っていたと確信できます。 チェックイン・エリアに対して単純なランサムウェアが起動された場合、遅延は避けられなかったでしょう。同じ攻撃がセキュリティー・エリアに対して行われれば、飛行を完全に阻止でき、深刻な影響を引き起こしたでしょう。

この主要な国際空港は、世界最大級の交通ハブのひとつです。年間 7000 万人の乗客と 1 日あたり 1000 便以上のフライトを接続するこの施設は、重要インフラとして分類されています。