「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Apache Log4jの脆弱性を悪用した攻撃
~AI型NDR製品「Darktrace」の検知事例をご紹介~ 製品・サービスの活用方法

2022年3月2日

本コラムは、日々の脆弱性対応やインシデントと闘う情報システム部門やCSIRT担当の方へ向けたコラムとなります。

①ゼロデイの脆弱性など未知の脅威を検知したい
②脆弱性対応に時間を要するため、攻撃の検知を強化したい
③攻撃を自動で対処したい

などでお困りの方に本コラムが参考になれば幸いです。

2021年12月に公開された、Apache Log4jの脆弱性(CVE-2021-44228)通称 Log4Shellは、影響範囲の広さや攻撃自体の手軽さから、さまざまな企業が影響を受けました。
今回は本脆弱性を狙った一連の攻撃について、AI型NDR製品「Darktrace」(※)の検知事例をご紹介します。
是非ともDarktraceの無償評価(PoV)をお申し込みいただき、実際の効果を体感いただければ幸いです。

※ Darktrace:Darktrace(ダークトレース)はネットワークトラフィックを収集し分析することで攻撃を検知するNDR(Network Detection and Response)に分類される製品です。
特徴としては、通常とは異なる通信パターンをAIによる機械学習と数学理論を用いた自己学習で解析し、ネットワーク内の異常通信・行動をリアルタイムに検知・可視化することができます。


~目次~

1.AI製品の飛躍と課題
2.Darktraceの検知事例のご紹介
  2-1. 実例① 脆弱性が公開された日に悪用されたLog4Shell
  2-2. 実例② Log4Shellを使った攻撃への自動で対処
3.まとめ

1. Apache Log4jの脆弱性

Log4Shellは、JavaベースのオープンソースであるロギングライブラリApache Log4jで発見された任意コードを実行できる脆弱性(CVE-2021-44228)です。
本脆弱性は、重大度を示すCVSSスコアが10点中10点と最高レベルとなっています。
また、Apache Log4jは幅広いシステムやサービスで利用されており、影響範囲が広いと考えられます。
本脆弱性は、JNDI Lookupという機能に含まれており、ログファイルに書き込んだログの一部を実行するため、攻撃者は特定の文字列をログに残させることで攻撃を行います。
既に、攻撃コード(PoC)が公開されており、安易に攻撃を実行できる状況です。

なお、脆弱性の詳細や対策については下記をご確認ください。

2.Darktraceの検知事例のご紹介

これから説明する2件の事例については、本脆弱性を悪用して、コマンドインジェクション攻撃を行い、マルウェアをダウンロードするコマンドを実行するといった流れです。
その一連の流れに対して、Darktraceがどういった観点で攻撃を検知・対処を行っているのかをご紹介します。

本章でご紹介する検知事例につきましては、以下内容から抜粋し翻訳して掲載します。

2-1.実例① 脆弱性が公開された日に悪用されたLog4Shell
Darktraceでは、Log4shellが公開された当日に、本事例を確認しました。
今回の事例は、ある組織のDMZに接続されたサーバーが攻撃されました。

この組織では、未知の脅威の防御対策としてオンプレミスネットワークにDarktraceを導入していました。
そのためDarktraceは、最初のアラートから数時間以内に、このインシデントを特定し、対処することができました。
Log4shellを悪用して、マルウェア「Kinsing」として知られているクリプトマイナーに感染させることを目的とした攻撃でした。
この攻撃では、従来のルールやシグネチャベースのシステムでは、ルール等の追加がないと検知が困難ですが、Darktraceは最初の攻撃通信が発生して数秒後に複数の異常な動作を検知することができます。

Ⅰ.初期侵入の痕跡
Darktraceは、デバイスの相互評価を行い、DMZに接続された特定のデバイスと同様のグループに属したデバイスが通常環境で行う通信を事前に学習していました。
そのため、Darktraceは不審な通信を複数検知し、総合的な判断で攻撃を明らかにしました。

表1:通信の時間と内容
時間詳細
15:45:32 珍しいロシアの IPアドレス(45.155.205[.]233) から DMZ サーバーへの HTTPS インバウンド接続が発生しました。
15:45:38 DMZサーバーは、2つの新しいユーザーエージェントを使用して、珍しいロシアのIPアドレスに対してアウトバウンド接続を行いました。 Javaユーザーエージェントとcurlは、以前の振る舞いと比較して、異常なポートを利用してHTTP通信を行いました。
15:45:39 DMZサーバーは、同じロシアのIPアドレスに対して別の新しいcurlユーザーエージェント('curl/7.47.0')でHTTP接続を行いました。
このURIには、DMZサーバーで行った偵察情報が含まれていました。

この攻撃内容(表1)は全て、Darktraceが以前に検知したことがあるからではなく、特定の組織において、このDMZサーバーおよび同様のサーバー群での通常の通信パターンから大きく逸脱していたため、検知されました。
このDMZサーバーは、これまでにアクセスしたことのないインターネット上の珍しいIPアドレスにアクセスし、使用したことのないユーザーエージェントを使用しました。
さらに、使用したことのないプロトコルとポートの組み合わせで通信を行いました。
それぞれ検知時点の通信で、DMZサーバーと利用状況を分析することで、検知結果が進行中のサイバー攻撃であるということが明確になります。

Darktraceはこの攻撃活動を、下記などのさまざまなモデルで検知しました。
・Anomalous Connection / New User Agent to IP Without Hostname
・Anomalous Connection / Callback on Web Facing Device

Ⅱ.追加のツールおよびクリプトマイナーのダウンロード
感染したサーバーは、最初の侵入から90分未満で、不審なウクライナのIPアドレス(80.71.158[.]12)から、悪意のあるスクリプトと実行ファイルのダウンロードを開始しました。
その後、ウクライナのIPから以下のペイロードで順番にダウンロードされました。
・hXXp://80.71.158[.]12//lh.sh
・hXXp://80.71.158[.]12/Expl[REDACTED].class
・hXXp://80.71.158[.]12/kinsing
・hXXp://80.71.158[.]12//libsystem.so
・hXXp://80.71.158[.]12/Expl[REDACTED].class

Darktraceは、脅威インテリジェンスやIPアドレス、ドメイン名、ファイルハッシュなどの侵入の痕跡(IoC)に基づく検知を使用せずとも、攻撃の次のステップをリアルタイムで検知しています。

問題のDMZサーバーは、過去にこのウクライナのIPアドレスと、一般的でないポートで通信したことはありませんでした。
このDMZサーバーや同様のデバイス群が、珍しい外部の宛先から、このような方法でスクリプトや実行ファイルをダウンロードすることは極めて異常と考えられます。
これらのダウンロード直後、DMZサーバーはクリプトマイニングを実行し始めました。

Darktraceは、下記などの様々なモデルでこのアクティビティを検知しました。
・Anomalous File / Script from Rare External Location
・Anomalous File / Internet Facing System File Download
・Device / Internet Facing System with High Priority Alert

<Coffee Time>Log4Shellのインシデントをリアルタイムで可視化
Darktraceは、この攻撃をそれぞれのステップでリアルタイムに検知しました。
そして、Darktrace Cyber AI Analyst(※1)は、攻撃全体のまとまったストーリーを含む包括的なセキュリティインシデントを、Darktraceの1週間分のインシデントとアラートの中で最も優先度の高いインシデントとして自動でレポートします。
Cyber AI Analystが生成するレポートでは、インシデントの攻撃ステップの要約と、それに続いて調査する人間のアナリストが必要とする重要な情報について、要点をまとめて表示します。
図1は、このインシデントの異常な振る舞いの部分を表し、各調査プロセスで実行された実際の手順の概要を示しています。

※1 Cyber AI Analyst:アラートの中からインシデントである可能性が高いものを自動的に調査・分析し、レポーティングする機能です。このレポートは、PDF出力や日本語での表示も可能です

2-2.実例② Log4Shellを使った攻撃への自動で対処
12月12日、実例①とは別の組織のインターネット向けサーバーが、Log4Shellを悪用して侵入されるインシデントが発生しました。
この組織はDarktrace Antigena(※2)を遮断モードにして監視することで、AIが進行中のサイバー攻撃に自律的に対処(攻撃通信の遮断)できます。

この攻撃では、珍しい外部のIPアドレス(164.52.212[.]196)が、コマンド&コントロール(C2)通信とマルウェア配信に使用され、このデバイスや同様のデバイス群、組織にとって非常に珍しいポート88でHTTP通信を行いました。

この組織では、Antigenaがリアルタイムで反応した為、人手によるインシデントレスポンスは必要ありませんでした。
この場合、Antigenaは組織のファイアウォールと連動し、悪意のあるIPアドレス(この場合は164.52.212[.]196)とのポート88を使った接続を2時間遮断しました(図2)。
なお、攻撃が続く場合は、遮断と期間を延長するオプションも利用できます。

※2 Antigena:リセットパケットやファイアウォール連携等で特定の通信を遮断する機能です

自己学習型AIによってDarktraceは、インターネットに接続されたサーバーからそれぞれの端末まで、通常どのような通信が行われているか学習しています。
Antigenaによって、サーバーは通常通り動作することができますが、実行ファイルをダウンロードするためにポート88を利用して珍しい外部のIPアドレスと通信するなど、異常な動作はすべてリアルタイムで検知した上で、自動で遮断されます。
なお、遮断して問題がある場合には、変更や解除も行うことができます。
組織のニーズや要件に応じて、日中の特定の時間帯(営業時間など)または常時、検知されたものを確認後にAntigenaで設定することも可能です。

3.まとめ

本コラムでは、Log4Shellを悪用した攻撃について、検知事例を交えてご紹介しました。
Darktraceは、解析ロジックに機械学習を用いており、シグネチャに頼ったアラート検知をしないため、今回のLog4Shellの事例に限らず、未知の攻撃に対しても検知・対処することができます。
Log4Shellについては、本脆弱性を修正したバージョンがリリースされている為、IT管理者は速やかに脆弱性が解消されたバージョンへのバージョンアップを推奨します。
しかし、実際の現場の状況としては、上記のような根本的なセキュリティ対策が難しい制御系のシステムなどの機器もあり、その様な場合において、Darktraceを導入していることで、根本対策前に新たな脅威を検知・対処することが可能となります。

なお、当社では、Darktraceを4週間無償でご利用いただける評価プログラム(PoV)をご用意しています。
現状のセキュリティ対策で不安を抱えている方はぜひ、Darktraceの効果を実際にお確かめください。

無償トライアルのご案内

netskope 無償 評価プログラム(PoV)

4週間・無償でご利用いただける評価プログラムをご用意しています。
Darktraceの効果を実際にお確かめください。

短期間で評価機を導入可能!
お申し込み後、評価機のご利用に必要な情報をお伺いするヒアリングシートに回答いただき、当社にて初期設定を行います。導入作業はタップもしくはミラーポートへの接続などを含め、約1~2時間で完了します。

事前にご準備いただく必要があります。

お客様環境のセキュリティリスクを週次レポート!
発見したセキュリティリスクをまとめたセキュリティレポートを毎週提供(合計3回)。
お客様環境におけるセキュリティリスク改善にご活用いただけます。

レポート作成には、Darktrace社へのリモート接続(22/tcp)が必要です。

トライアルお申し込み


京セラコミュニケーションシステム株式会社
セキュリティ事業部SecureOWL Center
Darktrace セキュリティ運用監視チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ