- 2025/12/05
- XDR
第3回 「深刻なインシデントに繋がる不正なログインを見逃している」-【3回シリーズ】もう『気づけない』とは言わせない!ランサムウェア被害の半数を防ぐ XDR可視化術
Post by : Yohei Ohashi
ランサムウェア被害の深刻化に対応するXDR(Extended Detection and Response)に焦点を当てた3回シリーズのブログを投稿しております。最終回の第3回は、「深刻なインシデントに繋がる不正なログインを見逃している」という課題に焦点を当てます。アカウント窃取はどのようなリスクが存在するか、そしてCybereason XDRが他社データソースとの連携でどのように不正ログインを検知し、レスポンス対応に繋げることができるか、その有効性について解説していきます。
1. ID・ワークスペースを取り巻くセキュリティリスク
近年のサイバー攻撃は、アカウント侵害を起点として展開される傾向にあります。アカウント侵害のリスクは非常に高く、以下の統計データからもその深刻さが伺えます。
- データ侵害の81%は、脆弱なパスワードや窃取されたパスワードによって引き起こされています。
- 組織の61%が、窃取されたクレデンシャルによる侵害を経験しています。
- ハッキング攻撃の約20%は、脆弱なパスワードを持つアカウントへのブルートフォース攻撃です。
- 92%のマルウェアがフィッシングメールから配信され、アカウント窃取に使われています。
アカウントが侵害され、不正ログインが成功してしまうと、攻撃者は企業のネットワークシステムに侵入します。特に重要なのは、不正ログインが成功した場合、エンドポイントでのマルウェアやランサムウェアの感染なしに、クラウドサービスへ直接アクセスし、機密情報を窃取することが可能になる点です。攻撃者は、認証情報の窃取や権限昇格を行い、アカウントを用いてシステムに侵入することを目的達成の手段としています。また、実際の攻撃手法には、セッションクッキーやトークンを盗み取り、多要素認証(MFA)をバイパスする手法も存在します。エンドポイントを守るEDR(Endpoint Detection and Response)はセキュリティにおいて最重要ですが、アカウント侵害からデータ窃取に至る攻撃経路の中には、エンドポイントを経由しない場合も存在します。
XDR(Extended Detection and Response)は、このEDRの限界を補い、セキュリティレベルを向上させます。IDやワークスペースのログをXDRに取り込み、相関分析を行うことで、アカウント侵害の攻撃の兆候や不正ログインなどを検知することができるようになります。
2. Cybereason XDRの概要
XDRプラットフォーム上に各種システムのデータソースを取り込むことで、監視対象が拡大し、可視化が実現されます。これにより、監視・検知・対応を一元管理し、複数のデータソースで相関分析を行うことで、攻撃全体の全体像を可視化します。
4段階に分かれた分析モデルにより、個別のログの点のアラートを、一つの広域シナリオとして見せることが可能です。ワークスペースであれば、Microsoft365やGoogle Workspace、ID関連であれば、Entra IDやOktaなど、主要なデータソースに対応しており、さらに国産ベンダーであるHENNGEにも対応しているため、お客様のセキュリティ強化のニーズに幅広く対応することができます。
3. ID・ワークスペース連携時の攻撃シナリオ可視化
実際に、Entra IDのログにおける不正なログインの検知と、それに続くデータ操作のログを相関分析し、攻撃として通知した事例があります。また、Entra IDの不審なログインと、M365(OneDrive/SharePointなど)のログから検出された正規のウェブサービスを利用したデータ持ち出しのログを相関的に分析し、攻撃として認知したケースもあります。これは、EDRのログが一切関与しなくても、IDとワークスペースのログだけで相関分析ができるというXDRの大きな特徴を示しています。これにより、境界防御では見逃されがちな正規通信を悪用した攻撃を早期に検知し、インシデント対応までの時間を大幅に短縮します。
4. 導入事例:東亜電気工業様
エレクトロニクス分野の技術商社である東亜電気工業様では、既存のEDRに加え、セキュリティ強化の必要性からXDRを導入いただきました。
同社は、Google Workspace(ワークスペース)のログと、Cybereason MTD(モバイルセキュリティ)のログをXDRに取り込み、相関分析による監視を実施しています。
導入の決め手となったメリットは多岐にわたります。
- セキュリティ状況全体の可視化:統合的なログ監視により、全体の可視化が実現しました。
- 未知のマルウェアへの対応力向上:様々なログを収集・相関分析することで、死角なしで迅速な対応が可能となりました。
- 対応の迅速化::導入前は膨大な時間を要していた初動対応が、XDRによる統合監視によって数分に短縮されました。
XDRを導入することで、EDRのみでは難しかった包括的な可視化とログ分析が実現し、セキュリティリソースを無駄にすることなく最大限のセキュリティ強化が可能になりました。
5. まとめ
Cybereason XDRは、IDワークスペースログ連携による不正ログインの全体像可視化を実現します。お客様のセキュリティ要件や課題に合わせて、サイバーリーズンXDRで様々なログデータを分析し、統合的に監視・可視化することで、包括的なセキュリティ強化を実現できます。
