プロローグ:ランサムウェアの「足音」を捉える技術と人材

ランサムウェア攻撃において、暗号化という「実害」は、長い侵入プロセスの終着点に過ぎません。重要なのは、その数時間、あるいは数日前に刻まれている攻撃者の「足音」——すなわち、環境を掌握しようとする微かな脈動をいかに早く捉えるかです。シリーズ第3回となる今回は、サイバーリーズンのGSOC(グローバルSOC)による「アクティブハンティング(能動的脅威ハンティング)」がいかにして企業の崩壊を防いだか、その舞台裏を明かします。自動化されたアラートが鳴り響くのを待つのではなく、アナリストが自ら「異常の萌芽」を探し出すことで、60台を超える端末への同時攻撃を、実行ボタンが押される数歩手前で阻止した実録です。

ランサムウェア実行直前、60台超の端末が標的に

第一章:GSOCの「ファインプレー」— 専門家が捉えた違和感

ある日の日本時間の深夜、GSOCのシニア・アナリスト(米国)が実行していた独自のハンティング・クエリが、ある日本の製造業のお客様環境で「不自然な挙動」を突き止めました。具体的には、コマンドライン上で行われた巧妙な「UACバイパス(ユーザーアカウント制御の回避)」の試行です。攻撃者は、一時ディレクトリ(C:\Windows\Temp\)に配備した特定のバッチファイルを起点に、システム内部への浸透を図っていました。特にアナリストが「これは致命的な危機の予兆である」と確信したのは、レジストリの「LocalAccountTokenFilterPolicy」が書き換えられた瞬間です。この設定変更は、リモートからの管理者権限アクセスを制限する機能を無効化するものであり、「横展開(ラテラルムーブメント)」の開始を意味します。この段階では、まだ一台のファイルも暗号化されておらず、業務への影響も皆無でしたが、GSOCは仕掛けていたクエリーでこの動きを察知すると、直ちに悉皆調査を開始したのです。

第二章:攻撃者の「チェックリスト」— 消毒と準備の儀式

調査を深めるにつれ、攻撃者が暗号化の成功率を極限まで高めるため、まるでチェックリストを埋めるように狡猾な手順を踏んでいたことが明らかになりました。GSOCが観測した、暗号化直前の「儀式」とも呼べる行動は以下の通りです。

  1. 偵察と標的の選定(Discovery) 攻撃者は reg query コマンドを用いてOSの製品名(Windows 10 Proなど)を確認していました。これは、環境に合わせた最適なランサムウェア・ペイロードを選択するための準備行動です。
  2. 足跡の抹消(Evasion) この攻撃者が洗練されていた点の1つが、自らの活動が記録されたLOGや認証情報の削除です。これは、攻撃者が自身の接続経路を隠蔽し、事後のフォレンジック調査で足跡を辿らせないための「証拠隠滅」作業です。
  3. 永続的な特権の確保(Persistence) 万が一現在のセッションが遮断されても再侵入できるよう、”Administrador” や “Informatica” といった、正規のシステム管理用に見える新規ユーザーアカウントを勝手に作成していました。
  4. バックアップの無効化準備(Impact) 暗号化と同時に「復旧手段の破壊」を行うための活動も当然のように行われていました。

第三章:一閃の防御 — 60台以上の同時隔離と封じ込め

GSOCの悉皆調査により、この脅威が単一の端末に留まるものではないことが瞬時に判明しました。攻撃者はすでに組織内のツールを悪用し、ネットワーク全体への一斉攻撃を準備していたのです。GSOCが調べた時、既に60台を超える端末がターゲットに含まれていました。「アクティブな攻撃が現在進行中であり、数分以内に壊滅的な実害が発生する」このGSOCの緊迫した判断に基づき、即座にお客様のインシデントレスポンス(IR)チームへエスカレーションを実施。同時に、以下の「一刻を争う推奨アクション」を能動的に実施しました。

  • 影響範囲にある60台以上の全端末の即時ネットワーク隔離
  • ドメイン管理者アカウント、および不審な新規アカウント(Administrador等)の即時ロックこの能動的な対処(XRサービス)により、攻撃者が全端末に対して暗号化バッチを流し込む直前で、全ルートを封鎖することに成功しました。もし対応が数分でも遅れていれば、この企業は60台以上の端末が同時に暗号化され、事業が停止する事態に直面していたはずです。

攻撃者の侵入経路とCybereasonの防御メカニズム

エピローグ:Cybereasonに任せれば安心だと言える理由

今回の事例の教訓は、ツールの導入よりも、その後のセキュリティ体験が最も大切だという事です。攻撃者は常に防御の隙間を縫い忍び寄ります。それを阻止したのは、24時間365日、お客様の環境の「微かな呼吸の乱れ」をプロアクティブに監視し続けるGSOCのアナリストたちの眼でした。実行防衛能力=Cybereasonが提供するセキュリティ体験の1つです。私たちは、お客様が「事業を継続できる当たり前の日常」を守るパートナーとして、これからも攻撃者の数歩先を歩み続けます。

従来型EPP・一般的なEDR運用とCybereason(EDR+GSOC)の比較