【Darktraceプロダクトレビュー】
機械学習による「未知の脅威」への取り組み事例 製品・サービスの活用方法

2018年8月9日

はじめに

本コラムは、CSIRT担当者や社内ネットワーク担当者など、社内セキュリティを担当されている方向けの情報提供として掲載しております。

近年のセキュリティリスクとして、「未知の脅威」、「内部不正」が重要視されていることはご存知だと思います。しかしながら、攻撃の高度化により既存のセキュリティ製品で「未知の脅威」や「内部不正」を完全に防ぐことは難しいということは周知の事実です。
そこで本コラムでは、当社で実施している「未知の脅威」、「内部不正」に対する取り組みをご紹介し、皆様の会社においてセキュリティレベルの底上げのお役に立てればと考えています。

当社における取り組み

当社では、社内ネットワーク上で発生した「未知の脅威」と「内部不正」にいち早く気付き、問題を特定するためにDarktrace(ダークトレース)という製品を導入しています。
Darktraceは、社内ネットワークの通信傾向を機械学習し、外部からの攻撃や内部の不正行為・情報流出の兆候をリアルタイムに「Breach(違反行為)」として検知して調査することができる製品です。
詳細は当社の製品紹介ページをご覧いただくとして、本コラムでは実際に当社で設置しているDarktraceにおける「未知の脅威」の検知例を、実際のBreachを用いてご紹介したいと思います。

「不審な実行ファイルのダウンロード」の検知例

これは、当社に設置しているDarktraceが実際に検知したBreachのログです。検知名は「EXE from Rare External Location」、つまり、レアな外部宛先からEXEファイルを取得したことを異常として検知しています。

この「レアな」という部分がDarktraceの機械学習によるネットワークの動的な分析結果を生かして検知したことを表しています。Darktraceが機械学習する通信傾向の指標は多岐にわたりますが、その中のひとつに外部宛先の「レア度」というものがあります。これは、外部宛先ごとに計算された、「その宛先がどれだけの端末からどのような頻度でアクセスされているのか」を数値で表したものです。
例えば、ひとつの端末からしかアクセスされておらず、頻度も極めて少ない外部宛先の「レア度」は満点の100%となり、逆に多数の端末から毎日のようにアクセスされている宛先は100%からどんどん下がっていき、最終的には0%になります。このスコアは、ブラックリストのような一般的な信用情報とは異なり、Darktraceを導入したネットワーク状況に応じて個別に変化する特徴を持っています。

さて、それでは改めて検知したBreachを確認してみましょう。
Breachには、通信ログの中からDarktraceが異常として検知するに至った根拠が抜粋して表示されているため、このログを確認するだけでどのような異常な通信だったのかをすばやく確認することができます。このBreachでは、接続先IPは205.185.208.80、接続先ドメインはcdnrep.reimageplus.com、ダウンロードしたファイル名はReimageRepair.exe、容量は605424B、そしてレア度はIP、ドメインどちらも100%だったと表示されています。

つまり、社内ネットワーク全体で見ると、このドメインに接続する人はほとんどいないどころか、もしかすると初めての可能性があります。そのような宛先からEXEファイルをダウンロードするということは、業務利用ではない可能性が高いと考えられます。最悪の場合、この端末はマルウェアに感染しており、勝手に外部へ接続させられて攻撃ツールをダウンロードし、次の攻撃準備をしているというケースも考えられます。

それではこの通信はいったい何なのかを、次の3段階に分けてDarktraceで分析してみましょう。

(1)検知された端末は誰が操作していたのか

インシデントを調査する際に最も重要なことは、対象がどの端末なのかを特定することです。しかし、一般的なセキュリティ製品では当該通信の送信元IPは分かっても、そのIPがどの端末に割り振られているIPなのかを特定することは意外に困難です。
例えば、DHCP環境ではIPが変わってしまうため、当時そのIPが割り振られていた端末がどの端末なのか、誰が使用していたものか等が分からないということはよく耳にします。また、IPを固定で割り振っているケースでも、台帳管理をしていなかったり、勝手にIPを使われたりするということもあり、誰が使っているIPなのか1台1台調べなければ分からないという課題が残ります。
その点、Darktraceはネットワーク上の端末情報を収集して管理しているため、検知された端末名にフォーカスを合わせるだけで、詳細な端末情報を表示することができます。

ご覧のように、社内ADサーバに対するKerberos接続時の資格情報が表示されています。ここから端末を操作していた個人を容易に特定することが可能です。もちろんDHCPパケットも収集しているため、DHCP環境でIPが動的に変わっていることも認識できています。

(2)ダウンロードしたファイルは何者なのか

もうひとつ、この手のインシデント調査で重要なことがあります。それはダウンロードした「ReimageRepair.exe」というファイルがどのようなファイルなのかということです。
DarktraceにはAdvanced Searchという詳細なログを検索する機能が用意されています。このAdvanced Search上で、当該通信を表示すると、ダウンロードしたファイルの詳細が表示されています。

項目
送信先IP 205.185.208.80
送信先ポート 80
URL http://cdnrep.reimageplus.com/rqc/nv/ReimageRepair.exe
ファイル名 ReimageRepair.exe
ハッシュ値(MD5) ce3408492d8f038dcc96126c012daa8c
MIMEタイプ application/x-dosexec
ハッシュ値(SHA-1) f5d2e1d561cf69cb0665cda3bd6ad7535e3078ec
送信元IP 10.XXX.XXX.XXX
送信元ポート 53589
通信量 605424(605.42kB)

URLやファイル名だけでなくハッシュ値まで見えていることが分かります。これらの情報を元に、オンラインスキャンサービス「VirusTotal」でスキャンしたり、インターネット上で情報収集したりすることができます。

この結果、今回ダウンロードされた「ReimageRepair.exe」はマルウェアや攻撃ツールではないものの、ユーザに誇張表現で不安を煽り、有償ソフトウェアを購入させようとするアドウェアの一種であることが分かりました。

(3)どんな経緯でアドウェアをダウンロードしたのか

最後に、なぜこのようなアドウェアがダウンロードされたのかを調査します。ダウンロードした通信の直前の通信をAdvanced Searchで確認すると、以下のようなHTTP接続を発見しました。

項目
コンテンツタイプ text/html; charset=UTF-8
送信先IP 161.47.7.14
送信先ポート 80
ホスト名 www.reimageplus.com
メソッド GET
リダイレクト先URL http://cdnrep.reimageplus.com/rqc/nv/ReimageRepair.exe
リファラ http://www.tips2-remove.com/jp/delete-invisimole/
送信元IP 10.XXX.XXX.XXX
送信元ポート 53584
HTTPステータスコード 302
HTTPステータス Found
ホスト名以下のURL 省略
ユーザーエージェント Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36

HTTPステータスが302、リダイレクト先URLが先ほどのダウンロード通信、さらにユーザーエージェントがGoogle Chromeとなっていることから、どうやらこのユーザはあるページをブラウザで表示したところ、別ドメインにリダイレクトされて(恐らく)意図せずEXEファイルをダウンロードさせられたということが推測できます。

このように、DarktraceのAdvanced Search機能では、通信内容を推測できるほどの詳細なログを表示して、調査を行うことが可能です。

実際に運用して分かったこと

さて、ここまでDarktrace は従来型のルール・シグネチャとは異なる手法で脅威の兆候を検知することを説明してきました。このような仕組みにより、既存のアンチウイルスやファイアウォール等で検知しきれないマルウェアの流入にもいち早く気づくことができます。

他にも、社内ではほとんど利用されていないフリーソフトをインストールした場合なども、ネットワークの動きの珍しさというDarktraceならではの観点で「Breach」として検知されます。これにより、未知の脅威や内部不正などの兆候だけに留まらず、社内で許可されていないフリーソフトの利用といった社内ポリシー違反や操作ミス等、ただちに脅威とはならないものの是正すべきとされる挙動も検知できます。

Darktraceによって、セキュリティ事故につながるような事象を検知した段階で担当者を特定することができ、リアルタイムに状況を把握し、注意喚起することができるようになりました。さらに当社では、以前から導入しているファイアウォールに、Darktraceが検知した不審な宛先を追加し遮断したりするなどの取り組みも行っており、社内のセキュリティレベルの底上げに大きく貢献しています。

まとめ

本コラムでは、近年セキュリティリスクとして重要視されている「未知の脅威」や「内部不正」に対する当社の取り組みとして「Darktrace」をご紹介し、どのような仕組みで検知しているのかを技術的な内容も交えながら解説しました。皆様がご担当されている社内セキュリティ向上のお役に立てば幸いです。

最後になりましたが、当社ではDarktraceを4週間、無償でご利用いただける評価プログラムを用意しています。Darktraceに興味をお持ちいただけた際は、ぜひ当社までお問い合わせください。

京セラコミュニケーションシステム株式会社
セキュリティ事業部インテグレーション部
Darktrace担当チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ