業務時間外攻撃から守る、侵入を防ぐための最適解　誰も教えてくれない攻撃者目線のセキュリティ対策

2024年のサイバー脅威動向と主要な攻撃手法

杉浦一洋氏：みなさん、こんにちは。ソフォス株式会社セールスエンジニアリング本部の杉浦一洋です。本セッションは「誰も教えてくれないサイバー攻撃に対する考え方、護り方　理にかなったセキュリティ対策とソフォスのご紹介」について説明いたします。どうぞよろしくお願いいたします。

今回の内容はこちらになります。よろしくお願いします。ではさっそく、脅威動向について解説いたします。

「ソフォス脅威レポート」2024年版にある脅威動向として、こちらの6つを取り上げています。左上から、ランサムウェアの攻撃、そしてデータ窃取。こちらは日本の報道では情報漏洩というキーワードでよくみなさんは聞き慣れているかと思いますが、攻撃者からするとデータ窃取というかたちになります。

そして、サービスとしてのサイバー犯罪、サービスとしてのマルウェアが主流となっていまして、昔みたいに犯罪者がイチからマルウェアを作成して配布して攻撃をするというわけではなくて、サービスとしてのマルウェアを利用するかたちに変化をしているところです。

そして、後ほども触れるんですけれども、一般のユーザーさん、あるいは管理者さまが使っているソフトウェアを悪用する、デュアルユースツールというようなことが多く報告されています。

そして、ソーシャルエンジニアリング。こちらは昔からの手法で、社内に侵入する時に、よくメールからの攻撃で使われる手法です。これも相変わらず脅威動向としてはあるので、脅威動向としてはこのような6つが挙げられます。

攻撃者の手法と業務時間外攻撃の実態

その中で攻撃者がどんなことを考えているかというと、目的達成のために手段を選ばないところがあります。攻撃対象となっている組織は、当然のことながら何らかのサイバーセキュリティ対策をしている状況と考えています。なので、攻撃者はそれを前提にして攻撃を行っていきます。

そのため、1つの攻撃が駄目だったから諦めるというわけではなく、次の手、また別の次の手とリアルタイムに攻撃を変更していき、侵入が成功したら目的達成（のための作業）を行うというようなかたちを取っています。

その際にセキュリティの弱点を突く攻撃、例えばパッチの適用をしていないシステムへの攻撃であったり、あるいはツールの設定ミスなどを突いて攻撃をしていくところ、また先ほどのデュアルユースツールとして紹介したとおり、正規のITツールを悪用して攻撃するのが、現在の脅威動向です。



そして、攻撃がいつ行われるかというと、業務時間外に行われている傾向が非常に高いことが、ソフォスのIncident Responseチームによる対応状況からうかがえます。例えばこれが日本ではどうなのかというと、日本でも業務時間外に行われている傾向があります。

少しここにも書いてあるんですが、ランサムウェア全体の攻撃のうち43パーセントは金曜日または土曜日に行われていたことも、Incident Responseチームでの対応の実測値として報告されています。



このような脅威動向の中で、どういった対策が必要になってくるかというと、ここに書いてあるとおり、24時間365日の検知と対応が必要となっているのが、脅威動向からうかがえます。

前のスライドの下のほうに書いてあったんですけれども、ランサムウェア攻撃の90パーセント以上が営業時間外に発生していることと、実際に侵入してランサムウェア攻撃が行われるまでの時間が、2022年から半分になっていることから、侵入されてから実行されるまでの期間が非常に短くなっています。

また、ランサムウェア攻撃ではなく「Active Directory」への攻撃については、（これはつまり）Active Directoryを侵害していくわけなのですが、侵入を開始してからActive Directoryに到達するまでに1日もかからないというのが、我々の調査で確認された結果となっています。

これは何を意味するかというと、早期発見、早期対応をするような準備をしておかないと被害を最小限に抑えることができない、というのが脅威動向からうかがえる結果です。

EPPとEDRの違いから理解するセキュリティ対策

このよう中で、特にこのセッションを聞いているみなさまがまさにそうかなと考えているんですけれども、いろいろなサイバー攻撃対策を考えようとするなかで、ソリューションのヒアリング、あるいは情報収集を行っているかと思いますが、その中には、誰も教えてくれないことがあるのではないかと私は思っています。

それで今回タイトルにもしましたが、情報収集においてそれぞれいろいろと出てくるキーワードについて、その意味を正しく理解されている、そうではない、というところがお客さまの会話でうかがえることがよくあります。ここはみなさまとの共通理解を目的に解説できればと考えています。

例えば、「EPPとEDRの違いというのは何か？」というところがあります。これもなかなか「違いを説明してください」と言われても、言葉にしてきちっと説明できる方、もしかすると半分いないかもしれないと思っています。こちらを少し解説していこうかと思います。概要と、あと誰が何をするのかをまとめてみました。

まずEPPです。これはEndpoint Protection Platformの略で、平たく言うとウイルス対策ソフトです。パソコンとかサーバーとかにウイルス対策ソフトを入れていますという、まさにその部分です。

ここでは誰が何をするのかという観点で言うと、脅威を検出して防御、例えばマルウェアを見つけて隔離する、あるいは削除するという部分をやるのがEPPの仕事です。管理者は何をするかというと、EPPが（そのアクションの）ログを出し、それを確認してマルウェアが隔離されたのか、削除されたのかを確認するのが主な業務になってくるかなと思います。

一方で、EDR（Endpoint Detection and Responseの略）は何をしてくれるかというと、侵害の痕跡を見つけてそれを教えてくれるツールです。なので担当者が何をするのかというと、EDRが教えてくれた情報をもとに、本当に攻撃があったかどうかを調べる作業が発生します。EPPとは運用の仕方が変わってきます。

なので、EPPはどちらかというと侵入を防ぐためのツールで、EDRは侵入されたことを教えてくれるツールという違いとなります。EDRで検出されたものをトリガーにして、お客さま自身で調査をしていくというのが大きな違いです。



さらに、EDR、XDR、MDRという（キーワードがあり）、頭が変わって後ろは「DR」というものが増えてきましたが、これらの違いについても少しみなさまと共通理解するために解説できればなと思います。

同じように、概要と誰が何をするのかをまとめてみました。EDRは先ほど言ったとおり、端末やサーバーで侵害の痕跡を検知し、お客さまがそれをもとに調査していくツールです。

ではXDRは何かといいますと、そのきっかけとなる場所が端末やサーバーにおける侵害の痕跡だけでなくて、ほかの機器、要は端末やサーバー以外から得られた何かしらの情報をトリガーにして、最後はお客さまが調べるきっかけとなるツールになります。

ではMDRは何かというと、「誰が」という主語が「お客さま」から「サイバーセキュリティの専門家」に変わっているようなかたちですね。

お客さまに代わって、先ほど出てきた上の2つのツール、EDR / XDR が検知したアラートをもとに「サイバーセキュリティの専門家」が調査を行うのが MDR で、「誰が」やるというのころが大きな違いと捉えてもらえればなと思います。



「では、MDRって何をしてくれるの？」というところで、先ほど解説を入れましたが、もう少しお話しさせていただければなと思います。

MDR。Detection＝検知と、Response＝対応をManaged＝管理するという略語になっていますが、先ほどのEPPとEDRの大きな違いは、誰が検知、誰が対応というところで、少し表にしてみました。「MDR」がやってくれるのはどの範囲でしょうか？

（MDRがやってくれるのは）ここです、というところで、EDRの「人が対応」の人の部分です。ここをお客さまに代わって、（サイバーセキュリティの専門家が）やってくれるのがMDRサービスです。

なんでそれがメリットで、お客さまが採用するのかというと、自社でEDRを運用するためのスキルとかトレーニングとか、あとは経験といったものを短期に実現するということはなかなか難しいかなと思います。なので、そういった準備をする必要が、サービスを使うことでなくなるのが大きなメリットですね。

なので、すぐに利用できますし、コストを抑えられるのがMDRサービスの大きな特徴となっています。



というMDRサービスなんですが、またこれも深掘りしていくと、少し内容が違ったところに行き着きます。それは（MDRがどこまで実施するか？具体的には）「封じ込め（オレンジの枠）」と「インシデント対応（青の枠）」の部分になってくるんですけれども、こちらの絵、何の絵かといいますと、メールから攻撃をされて、最終的にC&Cサーバーとかにつながって横展開されて、最後、ランサムウェア攻撃で暗号化されて、という一連の攻撃事例を絵にしたものです。

よくお客さまがインシデント対応で見つけた脅威をブロックしたいと聞きますが、その対応範囲はいわゆる封じ込めになります。

後ほどインフルエンザのたとえでご紹介できればと思うんですけれども、例えばインフルエンザの患者さん、症状が確認されたら場所を隔離して、診察をして、治癒しますっていうところがありますよね。まさにその部分です。

なんですけれども、ここの部分だけに注目していきますと、1つ疑問に思うことがあるかなと思います。「根本原因って何だったんだろうね？」というところです。要は、「どういったところから入ってきたのか？」とか、あるいは「ほかは大丈夫か？」というところに対する疑問が出てくるんですよね。

この絵のオレンジの部分だけでは根本原因がわかりません。どちらかというと、確認されたものを隔離していくところが主な業務になってくるので、全体的なところに関しては、ここだけではわからないとなります。

そうなってくると、全体的にどうだったのかというところを確認することが非常に重要になってきまして、MDRサービスによって、この青部分までやってくれるのかオレンジ色の部分だけなのかが大きな違いになってきて、MDRでもいろいろ違いが出てきます。

ホームセキュリティに例えた効果的な防御戦略

そういった「誰も教えてくれなかったこと」というタイトルで、みなさんが日々思っていたところに対して少し解決になればなと思っていますけれども、その中で「理にかなったセキュリティ対策って何だろう？」というところで、誰も教えてくれないところから理にかなった話について、腹落ち感を得る目的で少しご紹介できればと思います。

端的に言うと、サイバーセキュリティ対策は、ホームセキュリティ対策と通じるものがあると、ソフォスでお客さまと会話する中ではよく話しています。一言で言うと、「侵入させなければ被害に遭わないですよね？」というのが主なキーワードになってきます。

これはあくまでも一例というところと、どちらかというと、実際に対峙する情報システム担当者よりも、そこから社内で稟議を上げていく方々がイメージしやすいように、わざと「ステップ」というようなかたちで紹介していると捉えてもらえればなと思います。

そういった時に、まず何をするかというと、下には「オフィスセキュリティの向上ステップ」って書きましたけれども、ご自宅でもいいです。泥棒に入られないために最初に何をするかというと、鍵をかけますよね。

その上で鍵の管理であったりとか、あるいは監視カメラを入れましょうとか、あるいはホームセキュリティサービスを採用しましょうという話になるかなと思います。

これとサイバーセキュリティの考え方もほぼ一緒でして、最初に何をするかというと、防御策を取りますよねと。「ウイルス対策ソフトはなんで入れたんですか？」となったら、防御するためですよね、というところと一緒です。その上で、XDRとかEDRの検知の部分が出てくるのが一番わかりやすい対策かなと思います。



なので、この後ソフォスのソリューションの紹介をしますが、我々もお客さまとお話をする中で、エンドポイントセキュリティの話をよくします。

これはなぜかというと、「サイバー犯罪者は何を狙ってきますか？」という話になります。ランサムウェアのところで例を挙げれば、データですよねと。「じゃあ、そのデータはどこにありますか？」と。サーバーにありますよね。

ということで、サーバー対策、要はエンドポイントセキュリティの部分になりますが、「どうやって対策をしていこうか？」と考えた時に、先ほど出てきていた、そもそも侵入させなければいい、侵入時点で防御できればいいというところで、防御機能の強化をやっていきます。

そもそも侵入させないというところもありますし、第一弾が突破されても最終的に何かインストールされそうなことが起こった時にブロックできれば、その後は攻撃できない。そのようなかたちで、あくまでも防御する目的で入れていくもの。

そして、適応型防御というかたちで紹介してるんですけれども、例えば、人の手による攻撃であった場合、サイバー犯罪者から例えば攻撃者集団からの攻撃が確認された場合は、それこそセーフモードを実行するのを阻止するかたちで、一定期間防御機能を強化することを製品側で行うという防御策もあります。まずは、防御です。

その上で、先ほど出てきたEDR、XDRの定常監視部分です。侵害の痕跡を検知するというようなEDRの機能です。これをもとにして対処を行っていきます。

この図では、左側はツールだけの話になるので、「最後の対応の部分は誰がやりますか？」となると、お客さまという話になりますが、これらをマネージドのほうに任せたいという時は、MDRサービスで実際に、高度標的型攻撃に対して早期発見、早期対処できるような、専門家を備えたサービスを採用することが1つ対策としてはあるので、それを紹介しています。

ソフォスの統合的なセキュリティソリューション

というところで、ソフォスのソリューションが理にかなっているところを併せて紹介できればと考えています。

ソフォスのソリューション、先ほどのサイバーセキュリティ対策のステップという例のところで挙げましたが、まずは防御できればそもそも侵害されないですよね、というところの原則に基づいて、我々は防御ソリューションをいくつか揃えています。

そもそも侵入させない、しかもサイバー攻撃というネットワークを介してくるものになるので、そこの部分の攻撃、よく侵入経路で使われるところに対して、しっかり守れる、まず気づける、止められる体制を整えていることで、防御ソリューションを備えています。

例としては、エンドポイント、あるいはファイアウォール、そしてメール対策というところで、ちょっと一例で挙げると、ここがまず防御体制の1つとなります。それにプラスして（EDR/XDRの）検知の部分とそれをマネージドしてくれるMDRサービスの組み合わせでみなさまに紹介をしています。

2万3000社が採用するソフォスMDRサービスの特徴

我々のMDRサービスの部分は、そういった考え方の下で全世界で2万3,000社以上が採用しているサービスになっています。

内容としては、先ほど言ったように、EDRとかXDRから教えてくれた（検出してくれた）ものに対して脅威かどうかを判定して、もし脅威だった場合の対処をやってくれるサービスになります。

また、お客さまからの依頼の下で脅威ハンティングすることもありますし、業種別における世界中で起きた新しいインシデントに対して、「ほかのお客さまは大丈夫か？（この業種のお客様は大丈夫か？）」と、プロアクティブハンティングというかたちも取っているサービスです。



その内容としては、ソフォスでは、単にEDRの部分からの情報だけではなくて、左側のイベント情報源ってあるとおり、ほかの製品やサービスからの情報（アラート）を（ソフォスのデータレイクに）取り込んで、分析をするために、コンテキスト化した上で、関連付けをしていくことを自動的に行っています。ここはもう製品の仕組みでやっているかたちです。

その上で、実際に人による調査という部分に関して、判断材料をまとめ上げた上で、MDRサービスで人による調査が行われ、攻撃が確認された場合は、それに対する攻撃の除去と、再発防止策の策定などをサービスとして提供しています。



一例としてこのような絵を用意しました。例えばスタートとしては、いわゆるEDRですね。端末やサーバーに（EDRの）センサーを置いて、そこを先ほどのマネージドサービスで監視しています。さらに社内におけるソフォスのファイアウォールであったり、他社のファイアウォールから出てくるアラートをトリガーにすることもできます。

あるいは、エンドポイントとかいわゆるEDRのツールがインストールできない機器に対する直接攻撃をいかに早く検知するかということで、NDR（Network Detection and Response）のアプライアンスを置いて、通信（ネットワーク）を監視をして、攻撃の予兆がないかどうかを監視していきます。

（EDRのマネージドサービスだけでなく、他社製品のアラートやNDRのアラートをすべて）ソフォスのマネージドサービス（Sophos MDR）で監視できるため「拡張性の高い」というところで、紹介をしています。



先ほど「他社製品」っていうキーワードが出てきたので、ソフォスから見た他社製品とは何かといいますと、（スライドにあります）各カテゴリーでメーカーさんの名前を登場させていますが、こういったものから出てくるアラートを使ったマネージドサービスも行っています。

他社と違うところは、アラートを取得するだけではなく、それをトリガーにしたり、あるいは調査のための情報源として活用したりするのが（Sophos MDRの）特徴となっています。こちらは製品として、ほかのメーカーさんの製品のテレメトリ情報をもらう機器を増やしていきます。

MDRサービスの2つのプランと具体的な対応内容

先ほど、「どんな対応をしてくれるの？」ということがありましたが、Sophos MDR での対応を紹介できればと思います。「MDRの対応」の「対応」ってどんなことをしてくれるのかという部分ですね。

こちらの左側のほうに書いてある「Essentials」と「Complete」という、Sophos MDRサービスには、2つのサービスレベルがあります。

左側、オレンジ色の部分のEssentialsは、先ほどの封じ込めの部分のスライドで紹介した部分です。その部分を行うのがMDRのEssentialsです。目的としては、これ以上被害を拡大させないことを目的としたサービスです。

（MDR Essentialsでどういった）対応をするのかというと、実際に攻撃が確認された場合、MDRサービスは例えば該当の端末を隔離するとか、あるいは動いている不正なプロセスを止めるとか、あとは侵害されたユーザーを1回リセットするとかログオフするとか、あるいは悪意のあるアーティファクト（マルウェアなど攻撃者が作ったもの）を削除します。

さらに、（フルスケールの）インシデント対応までというところで、先ほどのスライドにもありましたけれども、青字の枠の部分がMDR Completeのサービスになります。

（MDR Completesは）は何をするのかというと、左側のEssentialsの内容に加え、脅威を完全に除去し、例えば初期アクセスの特定したり、原因が何かというところを明確にし、お客さまから新たな情報収集の依頼をするとかいろんな情報をいただいた上で、実際どんな攻撃があったかというのを、一連で調べます。

それができることにより（攻撃の）全容がわかって、原因と今後の対策でどんなことをすればいいのかを紹介できるようなサービスまで含まれているのがCompleteです。



少しわかりやすい例えとして、インフルエンザに例えてみましょう。よくインフルエンザで、特にオフィス内で誰かがインフルエンザの症状の可能性があるとなった場合、みなさんどうするかと考えてもらえればわかりやすいかなと思います。

例えば、誰かがオフィスの中で熱を出して、どうもインフルエンザじゃないかというような予想がある場合に、まずどうするかというと、1回隔離する、医務室に運ぶとか、あるいは病院に行くとか。病院に行ってもインフルエンザの可能性がある場合だと、おそらく別室に通されるようなことがあります。そして、インフルエンザだった場合は薬をもらって安静にすると思います。ここがいわゆる封じ込めの部分になります。

みなさんのいる場所から別の場所に移動することは、これ以上被害を拡散させないためですよねというところで、これがEssentialsの内容になります。

一方で、さらにオフィス内で（インフルエンザの痕跡が）確認されたので、ほかの方がインフルエンザに感染する可能性は否定できないというところで、近くにいた人を特に特定したり、濃厚接触者に対して調査を行って、インフルエンザに感染していたら同じように薬を投与して、というようなかたちを取って、全容がわかって感染源がどういったところなのかを見ていくのと、再発防止策が必要になります。それがMDR Completeとなります。



そして、他社（のMDRサービス）との違いというところで、いくつかここにスライドで用意しています。

一番の大きな違いは、攻撃がよく、要は営業時間帯外に行われるという話を最初の脅威動向で書きましたが、それに対応するにはどうすればいいかというと、（他社サービスの場合）日中帯(9:00-17:00) と夜間とか土日でサービス内容が違って、（リアルタイムに）対処できないので、そういったサービスよりも我々（Sophos MDR）のほうが24時間365日、同じ均一サービスを提供できるところが大きな違いになってきます。

あとは、他社製品のアラートを調査に含められているのもそうですし、検知、調査、対応の対応の部分は何をしてくれるかというところは、先ほどのスライドで説明しましたが、そういったところも、お客さまに何か最後対処を依頼するわけではなくて、ソフォスのほうで攻撃原因を除去するところまで含まれているようなサービスになっているのが、大きな違いとなっています。

Sophos Managed Riskによる外部攻撃表面の管理

そして、「Sophos Managed Risk」というサービスを始めました。これはTenable社のテクノロジーを使ったサービスになりますが、こちらを使ったExternal Attack Surface Managementのサービスを行っています。



少しユースケースで紹介すると、外部からの攻撃可能性のある、外部から見えるアセットに対する脆弱性の確認とか、あとはお客さまが未把握だったリソースがインターネット上から見えるものを可視化するものになってきます。

そうすることで、所有物の把握とリスクの軽減が見込めるというのが1つあります。リスクを把握できれば軽減もできます。例えばパッチを当てる理由があったりとか、そういったところができるようなかたちです。あとは、継続的に脆弱性は発見されるものなので、新しいアラートを受けて同じようにリスクの軽減策が取りやすくなっていきます。



導入イメージとしては、まずAttack Surface Managementで、攻撃される可能性がある場所の特定とか、あるいは可視化をすることで、まず対処が打てるということと、万が一、中に入ってきてしまって攻撃が確認された場合は、Sophos MDRが検知および調査、対応を行うことができます。

これにより予防策がさらに増えることで、攻撃される実現性が低くなるところが大きな特徴となっています。

理にかなった予防と対応によるセキュリティ対策

短い時間でしたが簡単にまとめると、営業時間外に攻撃される傾向もあるし、サイバー攻撃は、犯罪者の目的達成のために攻撃を行われるというところがあります。

その中で対策を考えなければいけないところがあるかなと思うんですけれども、何から防御するとか、誰が何をしてくれるのかがなかなか明確にされないままいろいろな物事が進みがちな中で、きちんとこういったことを明確化することによって、お客さまがどういったことをしなければいけないかが非常にわかりやすくなっています。

一番理にかなった方法としては、侵入させないように予防策を講じた上で実施するというところなんですが、ソフォスのソリューションは、その理にかなった対策でお客さまのインフラ、あるいはお客さまの情報を守るような仕組みを取っているサイバーセキュリティ会社ですというのが、みなさんに説明したかった内容となります。



以上でソフォスからのセッションは以上となります。ご清聴ありがとうございました。