『EDRを回避するSharePoint 0-Dayの侵入手口』というテーマのウェビナーを開催

■SharePoint 0-Day攻撃が急増する脅威環境
近年、企業が日常業務で利用するSharePointを狙った0-Day攻撃が世界的に急増しており、特に国内ではパッチ未適用環境が多いことから攻撃者にとって“高い成功率”をもつ侵入経路として悪用され続けています。ゼロデイ脆弱性はシグネチャが存在せず、攻撃の観測期間も極めて短いため、従来のEPPやEDRでは兆候を把握する前に初期侵入を許してしまうケースが後を絶ちません。攻撃者はSharePointの認証処理をすり抜けてWebShellを設置し、内部の暗号キーを窃取して横展開へと移行するため、一度侵入を許すとカード情報や知財、Active Directoryの制御まで影響が及び、企業の業務継続性が脅かされる環境が生まれています。

■認証バイパス経由の侵入がEDRで検知困難に
しかし、このようなSharePointを狙う0-Day攻撃は、攻撃プロセス自体が“正規通信に近い挙動”を装うため、エンドポイント上での不審プロセスやシグネチャに依存するEDRの設計思想では初期兆候を捉えにくいという構造的な課題があります。特に認証バイパスが成立した瞬間には“ユーザーが正常にログイン済み”と見なされ、攻撃者が配置したWebShellや逆シェルを通じたコマンド実行も管理者の操作と区別しづらく、横展開に伴うLSASSメモリ窃取やバックドア通信の開始まで検知が遅れることが珍しくありません。結果として、企業側は「EDRが正常に稼働しているはずなのに、なぜ侵害を防げなかったのか」という根源的な疑問と向き合うことになり、攻撃後の復旧・調査コストは想定以上に膨らむ傾向が続いています。

■SOCが挙動分析で初期侵入と横展開を可視化
本セミナーでは、認証バイパスによる初期侵入からWebShellの設置、鍵情報の窃取、内部ネットワークへの横展開、そしてランサムウェア展開に至るまでの攻撃連鎖を、SOCがどのように“挙動ベース”で検知し封じ込めるのかを詳細に解説します。特に、EDRでは見えない不審なプロセス連鎖、異常な権限昇格、C2通信の出現、そしてSharePoint固有のアーキテクチャに紐づいたログの相関分析など、専門チームが24時間体制で監視することで初期の数分〜数十分のうちに侵害兆候を捉える実運用のポイントを紹介します。加えて、脆弱性がパッチ公開前であっても攻撃者の行動パターン（TTPs）を先回りして検知できる“攻撃者視点の監視”をどのように構築するかについて、最新事例を混じえながら具体的な対処アプローチを提示します。
 

■主催・共催
 Viettel Cyber Security
■協力
 株式会社オープンソース活用研究所
 マジセミ株式会社

---

マジセミは、今後も「参加者の役に立つ」ウェビナーを開催していきます。
 過去セミナーの公開資料、他の募集中セミナーは▶こちらでご覧いただけます。