CrowdStrike Blog:可視化と制御、職場での USB 安全利用の秘訣 | ScanNetSecurity
2023.12.12(火)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

CrowdStrike Blog:可視化と制御、職場での USB 安全利用の秘訣

最近の調査によると、USBドロップ攻撃はほぼ50%の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。

脆弱性と脅威 脅威動向
 ソーシャルエンジニアリングは常にハッカーによって悪用され、セキュリティチームに危機感を与えています。

 ハッカーらは、巧妙な攻撃手法と人間が元来持つ好奇心をうまく利用して、日々ユーザーを餌でおびき寄せてリンクをクリックさせる、フィッシングメールに反応させることに成功しています。ベイティング(Baiting-餌まき)は、企業内のセキュリティが最も脆弱な箇所であると言える『エンドユーザー』を狙った非常に成功率の高いテクニックです。このタイプの攻撃は非常に効果的であるため、昨今成功した攻撃の半数以上で使用されています。

「落とし物」で釣る:USBドロップ攻撃

 ベイティングでよく使われるのが、「USB」ドロップと呼ばれる攻撃です。この攻撃は、マルウェアを仕込んだUSBデバイスをユーザーが拾い、エンドポイントに挿入するように仕向ける

 ものです。この攻撃は壊滅的な被害をもたらします。なぜならば、リムーバブルメディアを利用すれば、大学から国際宇宙ステーションに至るまでのいかなるネットワークにも侵入できるからです。
悪質なプログラムの書き換えやUSBデバイスドロップは、次の3つを実行可能とします。

 悪質なコード:攻撃者が悪質なコードをUSBデバイスに仕込んでおきます。このコードは、USBデバイスがデバイスに接続されたとき、あるいはユーザーがデバイス内に格納された悪質なファイルをクリックしたときに自動実行されます。このコードは、ワームからリモートアクセス型トロイの木馬まで何でもインストールできます。瞬時にエンドポイントを感染させると、別のマルウェアをダウンロードするための足掛かりを作ります。

 水飲み場攻撃:ソーシャルエンジニアリングの手口を使って最初のドロップ攻撃を実行することのほかにも、ウイルスが埋め込まれたUSBデバイス上に悪質なHTMLファイルを格納し、ユーザーに開かせて、水飲み場攻撃に使用するサイトに誘導する場合があります。そのようなサイトでは、個人を特定できる情報(PII)を入力させようとします。

 ヒューマン・インタフェース・デバイス・スプーフィング:さらに高度な攻撃になると、一見USBメモリーに見えるデバイスを利用し、実際にはまったく異なるデバイスとして動作させます。たとえば、USBキーボードの機能を持たせたデバイスが不正なキー入力を実行し、攻撃者によるエンドポイントへのリモートアクセスを可能にするケースもあります。

 最近の調査によると、USBドロップ攻撃はほぼ50%の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。同じ調査では、拾ったUSBデバイスをマルウェアスキャンを実行せずにPCに接続して、中のデータにアクセスしたユーザーの割合は68%でした。

奮闘は続く

 企業のセキュリティチームは、USBデバイスを安全に有効化しながらリスクを軽減する方法に関するジレンマを抱えています。従来の対応は、すべてのUSBデバイスを禁止するか、どのデバイスがエンドポイントにアクセスできるかを決定するデバイス制御ソリューションを使用してそれらを管理することでした。しかし、残念ながらそれらのソリューションでは不十分です。USB関連の侵害は前年比で8パーセント増加しており、現在では全侵害の約3分の1を占めています。
セキュリティチームは主に2種類のデバイス制御ソリューションに依存してきました。

 スタンドアローン型:機能単体型のソリューションは1つのUSBメモリーからさまざまなUSBデバイスに至るまで厳密なコントロールを提供します。ただし、そのようなソリューションは他のセキュリティと統合されていないため、インストールと管理に追加の時間と労力が必要です。また、デバイス制御ポリシーが適切であることを確認するための必要な可視性とコンテキストが欠如しています。環境内でどのデバイスがどこで使用されているかを可視化するには、他のセキュリティツールを追加で採用しなければなりません。

 エンドポイントスイート型:エンドポイントセキュリティベンダーは、一般的にはエンドポイントセキュリティスイートの一部として「統合型の」デバイス制御ソリューションを開発・販売してきました。しかし、それらのソリューションは、多くの場合本当の意味で統合されていません。通常これらのスイートは、個別の管理コンソールと追加のエージェント(および大きなシステムフットプリント)を必要とします。また、提供するデバイスの可視性は限定的です。その結果、セキュリティチームはデバイスに関する背景情報を得られず、環境内の状況把握が難しくなります。また、USBデバイス関連のセキュリティインシデントが発生した場合には特に、ソリューション自体が貴重なリソースを消費します。

 どちらのソリューションも、どのデバイスがどこで使用されているかを即座に可視化できないため、セキュリティチームは正確なUSBデバイスの制御ポリシーを実施・管理するために必要な知識を得ることができません。その結果、ソーシャルエンジニアリングの首謀者らは、ベイティング攻撃が入り込む格好の隙ができたとほくそ笑んでいるのです。

CrowdStrikeでUSBドロップ攻撃を封じ込め

 CrowdStrike のFalcon Device Controlは、USBデバイスに対する比類のない可視性ときめ細かい制御を提供することによって、USBドロップ攻撃によるベイティングのリスクを軽減することができます。このデバイス制御ソリューションは、軽量のFalconエージェントを介して提供されます。Falconエージェントは単一で複数機能を提供しており、デバイス制御もEDR機能ともシームレスに連携するため、既存のスタンドアローン型やエンドポイントスイート製品では実現できない、環境内でどのデバイスがどこで使用されているかを瞬時に確認できます。Falcon Device Controlは、他の製品にはない3つの重要な機能を提供します。

 前例のない可視化機能:Falconプラットフォームは可視化主義です。つまり、情報に基づいたセキュリティ上の意思決定を行うために、環境内のすべてを見渡すことができるということです。Falcon Device Controlは、追加の外部ツールを必要とせずに、USBポートを介して動作しているすべてのデバイスを自動的に検出して報告します。セキュリティチームはものの数秒で、リアルタイムデータや履歴データを検索して、攻撃プロセス、影響を受けるホストとユーザー、感染したデバイスなどを含む攻撃のパターンを特定できます。

 きめ細かい制御:可視性によって行動が促進されたセキュリティチームは、Falconを使用してポリシーを定義し、オンラインでもオフラインでもデバイスを特定してポリシーを適用できます。Falconプラットフォームによって提供される自動可視化機能を利用してFalcon Device Controlは、セキュリティチームが確認した内容に基づいて、その場でただちにポリシーを更新できるようになります。

 クラウドネイティブのアーキテクチャー:Falcon Device Controlは100%クラウドで提供および管理されるため、即座に稼働、数分でポリシーを作成・展開できます。セキュリティチームは、関連するすべてのUSBデバイス情報を1か所で管理し、迅速かつ効果的に対応できるようになるため、複数のソリューションを利用し時間を取られる必要がなくなります。

このような機能を身に着ければ、セキュリティチームはUSBドロップ攻撃など、USBデバイス関連のリスクに効果的に対処できます。ユーザーが危険性を知らずにUSBデバイスをエンドポイントに接続した場合、セキュリティチームはFalcon Device Controlを介してイベントをすぐに確認し、以降の動きを阻止することができます。

追加情報:
 ホワイトペーパー『SecuringYourDevicesWithFalconDeviceControl.』(英語)
 CrowdStrikeFalconプラットフォーム製品のWebページ(英語)
 CrowdStrikeの次世代型AV―FalconPreventの無料トライアル

*原文はCrowdStrikeBlog サイト掲載:Visibility and Granular Control: The Secret to Securing USB Devices In the Workplace
《Damien Lewke ( CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proofpoint Blog 32回「2024年サイバーセキュリティ予想:衝撃に備える」 画像

Proofpoint Blog 32回「2024年サイバーセキュリティ予想:衝撃に備える」
複数の CODESYS Control 製品に任意の OS コマンドを実行される脆弱性 画像

複数の CODESYS Control 製品に任意の OS コマンドを実行される脆弱性
FXC 製無線 LAN ルータに OS コマンドインジェクションの脆弱性 画像

FXC 製無線 LAN ルータに OS コマンドインジェクションの脆弱性
女性政治指導者を狙うサイバー攻撃グループ、その新手口 画像

女性政治指導者を狙うサイバー攻撃グループ、その新手口
不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内 画像

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内
オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度] 画像

オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

インシデント・事故 記事一覧へ

電子部品解析のアイテスのサーバにランサムウェア攻撃、データ暗号化被害 画像

電子部品解析のアイテスのサーバにランサムウェア攻撃、データ暗号化被害
京都大学高等研究院のメールアカウントが詐取、フィッシングメール送信の踏み台に 画像

京都大学高等研究院のメールアカウントが詐取、フィッシングメール送信の踏み台に
シグマの Instagram 公式アカウント乗っ取り被害 画像

シグマの Instagram 公式アカウント乗っ取り被害
京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に 画像

京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に
ファイルサーバに脅迫文、大西グループに不正アクセス 画像

ファイルサーバに脅迫文、大西グループに不正アクセス
ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性 画像

ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性

調査・レポート・白書・ガイドライン 記事一覧へ

ほんとにクラッカーに負けない?「OSS の六つの神話」を検証 画像

ほんとにクラッカーに負けない?「OSS の六つの神話」を検証
不正注文被害のEC事業者は34.4%、年間被害金額は25~50万円が最多 画像

不正注文被害のEC事業者は34.4%、年間被害金額は25~50万円が最多
ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に 画像

ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に
代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析 画像

代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析
EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証 画像

EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証
ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証 画像

ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証

研修・セミナー・カンファレンス 記事一覧へ

AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説 画像

AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説
GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催 画像

GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催
GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催 画像

GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催
受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか 画像

受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか
「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定 画像

「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定
サイバー脅威インテリジェンスの未来 5つの傾向 画像

サイバー脅威インテリジェンスの未来 5つの傾向

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加
社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初 画像

社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初
宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ~ 株式会社クラフ エバンジェリスト村上瑛美インタビュー 画像

宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ~ 株式会社クラフ エバンジェリスト村上瑛美インタビュー
不正アクセス禁止法に基づくアクセス制御技術の募集を開始 画像

不正アクセス禁止法に基づくアクセス制御技術の募集を開始
心の中で思い描いたイメージの脳信号からの復元に成功 画像

心の中で思い描いたイメージの脳信号からの復元に成功
「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定 画像

「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×