Vectra AI、ネットワーク・エッジ・デバイスへのゼロデイ攻撃から企業を守る最善の対処法を発表

ハイブリッドおよびマルチクラウド企業向けのAIによる拡張検知と対応ソリューション (NDRおよびXDR)を提供するVectra AI（本社：カリフォルニア州サンノゼ、CEO：ヒテッシュ・セス）は、このたび、ネットワーク・エッジ・デバイスを狙ったゼロデイ攻撃に対して、企業のセキュリティ対策は脆弱であり、そのための対応方法としてネットワークの検知・対応ソリューションが有効であると発表しました。

ゼロデイ攻撃とは、発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃のことです。ネットワーク・エッジ・デバイスのゼロデイ脆弱性は、急速に組織ネットワークへの侵入手段として最も悪用されている１つです。ファイブ・アイズ同盟  (米国、英国、オーストラリア、カナダ、ニュージーランド) のサイバーセキュリティ機関による2024年11月に発表された勧告<https://therecord.media/surge-zero-day-exploits-five-eyes-report>によれば、この事実は憂慮されるべきであり、過去数年とは異なる変化が見られると説明しています。

Citrix NetScaler、Fortinet VPN、Cisco ルーターの重大な欠陥含む、最も悪用された2023年における脆弱性に関する事案のトップ 15 が、当初はゼロデイとして悪用されたことが初めて明らかになりました。国家の関与が疑われる攻撃者を含む敵対者が、これらの脆弱性を利用して数千台のデバイスを侵害し、システムへのアクセス権を獲得して Web シェル（最初の不正アクセスの後、攻撃者がシステムとの通信を行いアクセスを維持するために使用する可能性があるツール）を仕掛け、長期的な制御を行っていることが明らかになりました。

企業のセキュリティ担当者は、こうした新たな攻撃主要から自社のデータを守るには、ネットワーク検知とレスポンス （NDR） <https://ja.vectra.ai/products/ndr>ソリューション実装が有効です。NDRを活用し、侵害後の回復活動を行うことで、高度な攻撃によるリスクを軽減することができます。

エスカレートするサイバー脅威の現状

攻撃者は、組織ネットワークへの侵入口としてネットワーク・エッジ・デバイスに注目し始めました。これらのデバイスは、信頼されたネットワークと信頼されていないネットワークの境界に存在することが多いため、攻撃者にとって魅力的な標的です。これらのデバイスを侵害することで、攻撃者はネットワーク内部への足掛かりを得ることができます。

以下の例は、重要なシステムを標的としたゼロデイ悪用の増加傾向を示しています。

• Palo Alto Zero-Days: 認証されていないリモートコード実行（攻撃者がインターネット等のネットワークを通じて対象のシステムや機器などにアクセスし、悪意のあるコードを実行できる能力）が可能なため、攻撃者は事前の認証なしにファイアウォールを完全に制御することができる。   

• Ivanti (旧Pulse Secure)の不正アクセス：認証バイパスの脆弱性により、攻撃者に発見されずにネットワークに侵入されてしまう。   

• Citrix NetScalerのOSやソフトウェアなどのセキュリティ的に弱い部分（ぜい弱性）を突いた攻撃や、ぜい弱性を狙うプログラム：リモートコード実行の脆弱性により、企業環境において重大な侵害が発生。   

• Sonic Wall Zero-Days: パッチ未適用の脆弱性が悪用され、安全なリモートアクセスデバイスが侵害された。   

• フォーティネットの脆弱性致命的なゼロデイ欠陥が悪用され、フォーティネットのファイアウォールシステムが制御され、ネットワーク防御が損なわれた。 

• F5 BIG-IP の脆弱性：重大なリモートコード実行の脆弱性が悪用され、デバイスの管理者制御が可能となり、ネットワークが完全に侵害される可能性がある。

上記の事例は、信頼できるセキュリティ・デバイスでさえも負債になりうることを示しています。攻撃者がこれらのシステムに侵入すると、セキュリティ機能を操作したり無効にしたりすることができ、従来の制御が効かなくなります。

侵害されたエッジ・デバイスの制限

従来のセキュリティ・ツールでは、ファイアウォールなどの信頼できるデバイスから発生する悪意のあるアクティビティを検知できないことがよくあります。これらのデバイスはデフォルトで安全であると見なされているため、異常な動作が気付かれない可能性があります。これらのデバイスが侵害されると、組織全体に広まり、攻撃者がアクティビティを拡大するための強力なツールになります。

ファイアウォールのようなネットワーク・エッジ・デバイスが侵害されると、ネットワークセキュリティの根幹が損なわれます。攻撃者は、セキュリティ機能を操作したり無効にしたり、設定を変更したり、デバイス内に保存されている機密データにアクセスしたりすることができます。例えば、Palo Alto Networks 製 PAN-OS の脆弱性CVE-2024-3400を悪用した後、攻撃者は以下の活動を実施する可能性があります。

• ファイアウォールの設定を放出：ネットワーク・アーキテクチャ、IPアドレスの範囲、認証メカニズムに関するインサイトを入手する。

• 認証情報の取得：ファイアウォールやリモートアクセスサービスは、ドメインやその他の組織サービスに対する特権クレデンシャルを保持していることがよくあります。これらの認証情報を抽出して特権の昇格に使用することで、攻撃者は重要なシステムの深部にアクセスする。   

• ログとアラートを無効にする：セキュリティ通知を抑制することで検知を防ぐ。   

 

ネットワーク侵害後に発生することとは？

攻撃者はネットワークに侵入すると、侵害後に以下のような行動をします。

1.偵察

攻撃者は、貴重な資産や重要なシステムを特定するために、内部ネットワークをマッピングする。ネットワーク・アーキテクチャを分析し、Active Directoryの構造を特定し、価値の高い情報を持つサーバーやデータベースをピンポイントで特定する。

例 ：SolarWinds社による攻撃<https://ja.vectra.ai/resources/breaking-down-the-solarwinds-breach>では、攻撃者は偵察によって被害を受けた組織のActive Directory環境をマッピングし、標的となる特権アカウントや機密リソースを特定した。

 

2.クレデンシャル・ハーベスティング

標的を欺くことによって、資格情報（ログインパスワードなど）を盗み取る攻撃のこと。攻撃者は、特権をエスカレートさせ、ネットワークへのより深いアクセスを得るために認証情報を抽出する。これには多くの場合、保存されているパスワードをキャプチャしたり、クレデンシャル・ダンピング・ツールを活用したり、侵害されたシステムのコンフィギュレーションからクレデンシャルを盗んだりする。

例 ：高度なスキルを持つ脅威グループであるMidnight Blizzard<https://ja.vectra.ai/research/threat-briefings?tab=midnight-blizzard>は、フィッシングとマルウェアを使用して、高い特権を持つ認証情報を盗み出し、機密メールシステムやクラウド環境へのアクセスを許可した。

 

3.ラテラルムーブメント（水平展開）

攻撃者は、SMB（サーバーメッセージブロック）、RDP（リモートデスクトッププロトコル）、WinRMなどのプロトコルを使用してシステム間を移動し、組織内での足場を拡大する。攻撃者は、信頼関係や脆弱なアクセス制御を悪用し、価値の高い標的へと攻撃を広げる。

例：WannaCry ランサムウェア攻撃<https://ja.vectra.ai/blog/vectra-detection-and-response-to-wannacry-ransomware>の際、攻撃者は SMB の EternalBlueという 脆弱攻撃ツールを悪用し、ネットワークを横断して伝播し、多数のエンドポイントを感染させた。

 

4.データ流出

攻撃者は機密データを収集してネットワーク外に転送し、多くの場合、データを暗号化したり、攻撃者が管理する外部サーバーに送信する。盗まれたデータは、恐喝に使用されたり、ダークウェブで販売されたり、さらなる攻撃に利用されたりする可能性がある。

例 ：Clopランサムウェアグループは、MOVEit Transferの脆弱性< https://ja.vectra.ai/blog/a-durable-method-for-dealing-with-zero-days>を悪用し、数百の組織から機密データを盗み出し、その後、この脆弱性を利用して、被害者を公衆の面前に晒すという脅迫で恐喝した。

 

5.永続性の確立

攻撃者は、侵害されたネットワークへの継続的なアクセスを維持するためにバックドアを作成する。この持続性には、ウェブシェル、マルウェアインプラント、または操作されたアカウントが含まれる。

例：2023年、脅威者はCitrix NetScaler ADCアプライアンスのゼロデイ脆弱性< https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-201a >（CVE-2023-3519）を悪用し、Webシェルを埋め込んだ。これらのWebシェルは永続的なアクセスを提供し、攻撃者は被害者のActive Directory上でディスカバリを実行し、データを収集および流出させた。

 

ファイアウォールを悪用する場合、攻撃者は侵害されたデバイスを活用して複数の内部システムへの接続を開始し、ドメイン・コントローラ、バックアップ・データ保護キー、ユーザー・ワークステーションなどを狙う。

 

ネットワーク検知と対応 (NDR)ソリューション の必要性

このような巧妙な攻撃を考慮すると、従来のセキュリティ対策だけに頼るのは不十分である。組織には、侵害されたデバイスを迂回したり、そこから発生したりする悪意のある活動を検知する、独立した包括的な手段が必要です。そこで重要になるのが、NDR<https://ja.vectra.ai/products/ndr>です。

NDRが不可欠な理由

• 独立した脅威検知：NDRは、エンドポイントセキュリティや侵害されたデバイスとは別に動作し、継続的な可視性を確保する。

• 振る舞い分析：ネットワーク・トラフィックのパターンを分析することで、NDRは偵察、横移動、その他の悪意のある活動を示す異常を特定することができる。

• 迅速な検知： Vectra AIのようなNDRソリューションは、高度な機械学習モデルを活用して、検知     、脅威をリアルタイムで検知し、攻撃者の隙を最小限に抑える。

• 包括的なカバレッジ： NDRは、横移動の際に悪用されがちな東西（内部）通信を含む、すべてのネットワーク・トラフィックを監視する。

Vectra AIが侵害後の活動を検知する方法

Vectra AIプラットフォーム<https://ja.vectra.ai/platform>は、侵害されたセキュリティインフラを回避または起源とする脅威を特定、調査、対応するために特別に設計されています。Vectra AIの Attack Signal Intelligence<https://ja.vectra.ai/products/attack-signal-intelligence>は、高度な人工知能（AI）と機械学習（ML）を活用して、ネットワーク・トラフィックをリアルタイムで分析し、悪意のある行動の微妙な兆候を検知します。

 

Vectra AIのAttack Signal Intelligenceとは：

• 疑わしい管理者の動作： WinRM、SSH、RDPなどの管理プロトコルの異常な使用を検出します。ファイアウォールのようなデバイスが、突然、これらのプロトコルを使用して内部システムへの接続を開始した場合（以前は観察されなかった動作）、Vectra AI はこれを疑わしいものとしてフラグ付けします。

• 疑わしいリモート実行：PowerShell RemotingやPsExecなどのツールを使用したリモート実行活動を監視します。予期しないソースからのこれらのツールの使用における異常は、横方向の動きを示しています。   

• 特権アクセス分析：Kerberos認証パターンを分析し、サービスやホストへの異常なアクセスを検知 。侵害されたデバイスが、これまで接したことのないサービスやホスト、特に高い特権を必要とするホストにアクセスし始めた場合、Vectra AI はこれを潜在的な脅威として識別します。

• ファイアウォール悪用の検知

攻撃者がファイアウォールの脆弱性を悪用するシナリオの場合は以下の通りです。

• 異常トラフィックの検知：Vectra AIは、管理プロトコルを使用して内部システムへの異常な接続を開始したファイアウォールを検知する。   

• クレデンシャル不正使用の識別：重要なサービスにアクセスするために取得されたクレデンシャルが使用された場合、通常の認証パターンからの逸脱に基づいてアラートが発せられる。   

• AI主導のトリアージ： Vectra AIのAI主導トリアージは、検知された脅威を自動的にトリアージし、ノイズを低減し、最も重要なインシデントをハイライトして即座にレスポン、より迅速で効果的な調査を可能にする。   

• AI主導の優先順位付け：Vectra AIの優先順位付けにより、これらの重要な脅威はセキュリティ・チームの即時の注意を喚起し、迅速な対処が可能になる。

ハイブリッド攻撃者がエンドポイントを超える方法に関するインフォグラフィックを<https://ja.vectra.ai/resources/hybrid-attackers-move-beyond-the-endpoint>ご覧ください。    

 

検知以外に重要なことは迅速な対応

検知は最初のステップにすぎません。脅威を封じ込めて被害を最小限に抑えるには、迅速な対応が不可欠です。

Vectra AI のレスポンス機能

• 自動化されたアクション ：Vectra AIは、侵害されたユーザーアカウントを自動的に無効にしたり、影響を受けたホストを隔離したりして、攻撃者が横方向に移動する能力を制限することができる。   

• セキュリティ・エコシステムとの統合：ファイアウォールやエンド・ポイント・プロテクション・プラットフォームなどの既存のセキュリティツールとシームレスに連携<https://ja.vectra.ai/platform-integrations>し、セキュリティポリシーを実施する。    

• 実用的な洞察：セキュリティ・チームによる調査と修復作業を支援するために、詳細なコンテキストと推奨事項を提供する。   

ネットワーク・エッジ・デバイスを標的とするゼロデイ攻撃は、重大かつ進化する脅威です。いったん攻撃者がこれらのデバイスを侵害すると、検出されずにネットワーク内を移動できるため、従来のセキュリティ対策は効果を発揮しません。積極的な対策だけでは不十分な場合もあるため、Vectra AI のようなNDRソリューションの導入が不可欠です：

• 侵害後の活動の検知：最初の侵害の後に発生する悪意のある行動を特定する。   

• セキュリティの可視性の維持：一次防御が侵害された場合でも、継続的な監視を確保する。   

• 迅速なレスポンス：サイバー脅威を封じ込め、修復するための迅速な行動を促進します。エッジ・デバイスを超えた脅威よりも早く行動し、検知することで、主要な防御が侵害された場合でも攻撃に対応する。

Vectra AIについて

Vectra AIは、AIによる拡張検知とレスポンス (NDRおよびXDR) のリーダーです。Vectra AI Platform<https://ja.vectra.ai/platform>は、パブリッククラウド、SaaS、アイデンティティ、データセンターのネットワークにわたる統合シグナルを単一のプラットフォームで提供します。Vectra AIの特許取得済みのAttack Signal Intelligence™ < https://ja.vectra.ai/products/attack-signal-intelligence>により、セキュリティ・チームは最先端のハイブリッド・サイバー攻撃を迅速に検知、優先順位付け、調査、対応することができます。AI主導の検知に関する35件の特許と、MITRE D3FENDにおける最多のベンダーリファレンスにより、世界中の組織がハイブリッド攻撃者のスピードと規模に合わせて動くために、Vectra AIプラットフォームとMDRサービスを信頼しています。詳細については、<https://ja.vectra.ai/> をご参照ください。

Vectra AIのセキュリティ製品デモについては、<https://ja.vectra.ai/demo>からお申込みください。

Vectra AIではNDRの進化とVectra AIについてマンガを通してご紹介しています。<https://ja.vectra.ai/resources/infographics/jp-ndr-has-evolved-so-far-vectra-ai-explained-comic>

その他、Vectra AI Japanが配信しているSNSはこちらです。

X(旧Twitter): https://x.com/vectra_ai_jp
YouTube　　: https://www.youtube.com/@vectra-JP