AIを利用した早期発見能力の構築

はじめに

2023年上半期もたくさんのランサムウェアや情報漏洩インシデントが国内で報告されました。攻撃者は侵入すると見つからないよう慎重に行動し、できる限り短い時間で目的を達成しようとします。防御側は攻撃者による疑わしい振る舞いを早期に発見できる能力を持つ必要があります。

組織に侵入した攻撃者を早期に発見する必要性

攻撃者が組織内に侵入する際はフィッシングやマルウェア、ソフトウェアの脆弱性といったものを悪用しますが、正規アカウントも頻繁に利用しています。辞書などをもとにした総当たり攻撃や、すでに漏洩しているアカウント情報を悪用することでログインを行おうとします。また、正しいアクセス権限をもった内部関係者が悪意をもって活動する事例も決して少なくはありません。

独立行政法人情報処理推進機構(IPA)が2023年4月に公開した「企業の内部不正防止対策に関する実態調査」報告書で、内部不正を経営課題と捉えている企業は4割しかなく、6割の組織で対策の優先度が高くないリスクと捉えられていることが報告されています。

つまり、内部で情報漏洩につながる行為があったとしても、対応できる能力や体制を備えている組織が多くないことがうかがえます。漏えいした正規アカウントなどで攻撃者が組織への侵入に成功した場合、彼らは内部関係者と同等のことを行えることになりますので、とくに対応能力や体制が整っていない組織では、情報漏洩やランサムウェアの実行といった目的を達成できる可能性は高くなります。

攻撃者が侵入して発見されるまでの時間を滞留時間と呼びますが、弊社が行ったインシデント対応における調査ではランサムウェアインシデントにおける滞留時間の中央値は38日でした。しかし、数十日かけて組織内部を探索して暗号化にいたった場合もありますし、侵入後わずか数時間でランサムウェアをしかけて身代金を要求した攻撃者もいます。攻撃者が内部に侵入して目的を達成すると甚大な被害が出てしまうので、できる限り早く侵入に気づき、防御し、対処する必要があります。

攻撃の過程で見られる兆候とは

早期に発見するには、攻撃の兆候を見つけて対処する必要があります。その1つに、ポリシーに違反しているわけでもなく、行為そのものが悪いものでもないが、これまでとは異なる「経験的に疑わしい振る舞い」を見つけ出す手法があります。たとえば以下のような事象は攻撃者による振る舞いによって発生する代表的なものです。

• ログインの失敗が一定時間内に大量に発生している
• 短時間のうち複数の国から同一IDでログインがある
• 端末が多数の外部 SMTP サーバーに接続している
• クラウドで大量のコンピューターリソースの割り当てが発生する
• 大量の書類を印刷する
• 大量のデータをクラウドにアップロードする

しかし一方で、悪意のない正規ユーザーによる振る舞いでもこうした事象が生じる場合があります。事象の性質や発生頻度は、組織やユーザーごとによって異なるため、単純な閾値を設定して一律禁止にすると、大量の誤検出が生じ、業務に影響を与えるため現実的ではありません。

また、社内での経験をもとに疑わしい振る舞いを見つける担当者を置くことも考えられますが、定常業務として実施するには継続性も拡張性もなく、時間もコストもかかる上に効果は限定的です。これは人力による作業や単純な閾値設定の問題ではなく、テクノロジーの力を使って解決すべき課題です。

疑わしい振る舞いの検出に必要な3ステップ

組織の中のあらゆる箇所で疑わしい振る舞いがないか24時間休まず監視するような複雑な仕事を行うには機械学習が欠かせません。

1. 良質なデータ:
   振る舞いを記載したデータはログとして数多く存在しています。たとえば以下のようなものはどの組織でも見つかります。
   • ネットワーク
   • セキュリティ
   • Active Directory
   • 端末やサーバー
   • IDaaS
   • VPN
   • クラウド

   これらのログは個人やデバイスのアクセスや振る舞いが記録されている良質なデータですが、大半の組織ではインシデントの発生時にしか分析していません。
   ログを寝かせておくのはもったいありません。AIに使ってもらいましょう。

2. 相関:
   各ログデータに残る記録は振る舞いのごく一部でしかありません。
   たとえば、「あるユーザーがモバイル端末を使い社外からVPN経由で社内サーバーにアクセスし、必要なデータを見つけ、それをSaaSへアップロードする」という日常的な業務を実施した場合、一連の振る舞いはそれぞれ端末、VPN、ネットワーク、セキュリティ、サーバー、Active Directory、SaaSのログに分散されて記録されています。
   ログ一つ一つを見ているだけではわからないことも多いため、関連するイベントの相関がとれるようこれらのログを一箇所に集めます。

3. 学習・分析:
   収集したログに含まれる大量のイベントを機械学習エンジンで学習・分析することで正常な状態を把握し、固有の環境における異常、すなわち「経験的に疑わしい振る舞い」を検出します。
   検出した情報をアラートとして管理者に通知することで攻撃を早期に発見し対応することが可能となります。

おわりに

ITやITサービスは社会を構成する重要なインフラとなっています。そのため、被害はサイバー攻撃を受けた組織だけにとどまらず、その組織が提供するITやITサービスの利用者にも業務停止や情報漏洩といった形で被害が及びます。自組織にくわえて他組織にまで大きな被害が及ばないよう、できる限り早い段階でサイバー攻撃を検出・防止・対応できる能力を備えましょう。

パロアルトネットワークスでもAIによる脅威分析と統合管理を解説するオンデマンドセミナーを開催しています。こうしたセミナーや資料を活用し、脅威の早期発見にAIを活用するヒントを見つけてください。