セキュリティ トレンド カンファレンス 2019 攻撃者の巧妙な手口から情報資産を防衛する

デモ・ソリューション講演
【デモンストレーション】実際の画面から読み解くEDRを利用した検知／対処とは

マクニカネットワークス
技術統括部
第6技術部 第2課
井形 文彦氏

マクニカネットワークスの井形文彦氏は、過去観測した標的型攻撃の攻撃手法や、EDRのデモを紹介した。

紹介した1つ目の標的型攻撃のケースでは、関係者を装ったワードファイルを添付したメールが最初に送られてくる。ワードファイルを開いて、マクロを有効化すると、外部からマルウェアをダウンロードして、OSが日本語環境かをチェックし、日本語環境以外なら攻撃を停止。日本語環境なら、遠隔操作ツールを生成・実行し、侵害を行う。

2つ目のケースではメールに添付されたワードファイルのマクロを有効化すると、Windowsの標準コマンドを利用して実行ファイルと悪性のDLL（動的リンクライブラリ）ファイルを書き出す。実行ファイルは見かけ上の問題がないが、悪性DLLを読み込むことで侵害を行う。最終的には、端末上に存在するドキュメントファイルの摂取を行う。

CrowdStrike社のEDR（Falcon）を利用したデモでは、プロセスツリーを利用してインシデントの調査を実施。プロセスの詳細を可視化して、コマンドラインの内容や、プロセスが保存したファイル、実行したファイル、注入されたレジストリを調査できることを示し、感染した端末を隔離したうえで、リモートから問題部分を削除する操作ができることを説明した。

特別講演（事例講演）
組織におけるリスク管理としての情報セキュリティ
－組織内CSIRTの視点から－
～組織で取り組む脅威の検知と対応～

大成建設
社長室情報企画部
専任部長／Taisei-SIRTリーダー
北村 達也氏

建設業においては、設計図、工程表など、工事関係者で共有する情報の管理が重要となっている。大成建設の北村達也氏は、情報管理における情報セキュリティのリスク構造が「ミスをなくせば防げるものから、回避できない損害において被害を最小限に抑えるダメージコントロールが必要なものに変わった」と述べ、迅速にインシデントに対応するチーム「CSIRT」の重要性を訴えた。

CSIRTは「難しいものではなく、有事の際に、意思決定できる人、技術的に対応できる人を招集するルールを決め、確実に動けば十分」と説明。同社チーム「Taisei-SIRT」は「消防団のように有事に集まる仮想的組織」として、情報部門のリーダークラスで構成。全社的なリスク対応における緊急時マネジメントを担うCRO事務局に参加するIT部門長の指示でTaisei-SIRTがインシデント対応に当たることを社内規程で明確にした。

また、平時の準備の大切さも強調。サイバーリスクに対し、同社は多層防御とログ分析で対応してきたが、2016年よりEDRやクラウド型資産管理ツール等を導入して、端末の状況をつねに把握し、社外にある端末への攻撃を止められるようにエンドポイントの見える化を進める。また、高い士気でインシデント対応に当たるには「ビジョンをみんなで理解、共有する必要がある。手順書を超えた判断をするには、経験と、それを補う教育、訓練、演習も大事」と語った。