CrowdStrike Blog:可視化と制御、職場での USB 安全利用の秘訣
最近の調査によると、USBドロップ攻撃はほぼ50%の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。
脆弱性と脅威
脅威動向
ハッカーらは、巧妙な攻撃手法と人間が元来持つ好奇心をうまく利用して、日々ユーザーを餌でおびき寄せてリンクをクリックさせる、フィッシングメールに反応させることに成功しています。ベイティング(Baiting-餌まき)は、企業内のセキュリティが最も脆弱な箇所であると言える『エンドユーザー』を狙った非常に成功率の高いテクニックです。このタイプの攻撃は非常に効果的であるため、昨今成功した攻撃の半数以上で使用されています。
「落とし物」で釣る:USBドロップ攻撃
ベイティングでよく使われるのが、「USB」ドロップと呼ばれる攻撃です。この攻撃は、マルウェアを仕込んだUSBデバイスをユーザーが拾い、エンドポイントに挿入するように仕向ける
ものです。この攻撃は壊滅的な被害をもたらします。なぜならば、リムーバブルメディアを利用すれば、大学から国際宇宙ステーションに至るまでのいかなるネットワークにも侵入できるからです。
悪質なプログラムの書き換えやUSBデバイスドロップは、次の3つを実行可能とします。
悪質なコード:攻撃者が悪質なコードをUSBデバイスに仕込んでおきます。このコードは、USBデバイスがデバイスに接続されたとき、あるいはユーザーがデバイス内に格納された悪質なファイルをクリックしたときに自動実行されます。このコードは、ワームからリモートアクセス型トロイの木馬まで何でもインストールできます。瞬時にエンドポイントを感染させると、別のマルウェアをダウンロードするための足掛かりを作ります。
水飲み場攻撃:ソーシャルエンジニアリングの手口を使って最初のドロップ攻撃を実行することのほかにも、ウイルスが埋め込まれたUSBデバイス上に悪質なHTMLファイルを格納し、ユーザーに開かせて、水飲み場攻撃に使用するサイトに誘導する場合があります。そのようなサイトでは、個人を特定できる情報(PII)を入力させようとします。
ヒューマン・インタフェース・デバイス・スプーフィング:さらに高度な攻撃になると、一見USBメモリーに見えるデバイスを利用し、実際にはまったく異なるデバイスとして動作させます。たとえば、USBキーボードの機能を持たせたデバイスが不正なキー入力を実行し、攻撃者によるエンドポイントへのリモートアクセスを可能にするケースもあります。
最近の調査によると、USBドロップ攻撃はほぼ50%の確率で成功し、セキュリティを意識したユーザーでさえも騙されることがわかっています。同じ調査では、拾ったUSBデバイスをマルウェアスキャンを実行せずにPCに接続して、中のデータにアクセスしたユーザーの割合は68%でした。
奮闘は続く
企業のセキュリティチームは、USBデバイスを安全に有効化しながらリスクを軽減する方法に関するジレンマを抱えています。従来の対応は、すべてのUSBデバイスを禁止するか、どのデバイスがエンドポイントにアクセスできるかを決定するデバイス制御ソリューションを使用してそれらを管理することでした。しかし、残念ながらそれらのソリューションでは不十分です。USB関連の侵害は前年比で8パーセント増加しており、現在では全侵害の約3分の1を占めています。
セキュリティチームは主に2種類のデバイス制御ソリューションに依存してきました。
スタンドアローン型:機能単体型のソリューションは1つのUSBメモリーからさまざまなUSBデバイスに至るまで厳密なコントロールを提供します。ただし、そのようなソリューションは他のセキュリティと統合されていないため、インストールと管理に追加の時間と労力が必要です。また、デバイス制御ポリシーが適切であることを確認するための必要な可視性とコンテキストが欠如しています。環境内でどのデバイスがどこで使用されているかを可視化するには、他のセキュリティツールを追加で採用しなければなりません。
エンドポイントスイート型:エンドポイントセキュリティベンダーは、一般的にはエンドポイントセキュリティスイートの一部として「統合型の」デバイス制御ソリューションを開発・販売してきました。しかし、それらのソリューションは、多くの場合本当の意味で統合されていません。通常これらのスイートは、個別の管理コンソールと追加のエージェント(および大きなシステムフットプリント)を必要とします。また、提供するデバイスの可視性は限定的です。その結果、セキュリティチームはデバイスに関する背景情報を得られず、環境内の状況把握が難しくなります。また、USBデバイス関連のセキュリティインシデントが発生した場合には特に、ソリューション自体が貴重なリソースを消費します。
どちらのソリューションも、どのデバイスがどこで使用されているかを即座に可視化できないため、セキュリティチームは正確なUSBデバイスの制御ポリシーを実施・管理するために必要な知識を得ることができません。その結果、ソーシャルエンジニアリングの首謀者らは、ベイティング攻撃が入り込む格好の隙ができたとほくそ笑んでいるのです。
CrowdStrikeでUSBドロップ攻撃を封じ込め
CrowdStrike のFalcon Device Controlは、USBデバイスに対する比類のない可視性ときめ細かい制御を提供することによって、USBドロップ攻撃によるベイティングのリスクを軽減することができます。このデバイス制御ソリューションは、軽量のFalconエージェントを介して提供されます。Falconエージェントは単一で複数機能を提供しており、デバイス制御もEDR機能ともシームレスに連携するため、既存のスタンドアローン型やエンドポイントスイート製品では実現できない、環境内でどのデバイスがどこで使用されているかを瞬時に確認できます。Falcon Device Controlは、他の製品にはない3つの重要な機能を提供します。
前例のない可視化機能:Falconプラットフォームは可視化主義です。つまり、情報に基づいたセキュリティ上の意思決定を行うために、環境内のすべてを見渡すことができるということです。Falcon Device Controlは、追加の外部ツールを必要とせずに、USBポートを介して動作しているすべてのデバイスを自動的に検出して報告します。セキュリティチームはものの数秒で、リアルタイムデータや履歴データを検索して、攻撃プロセス、影響を受けるホストとユーザー、感染したデバイスなどを含む攻撃のパターンを特定できます。
きめ細かい制御:可視性によって行動が促進されたセキュリティチームは、Falconを使用してポリシーを定義し、オンラインでもオフラインでもデバイスを特定してポリシーを適用できます。Falconプラットフォームによって提供される自動可視化機能を利用してFalcon Device Controlは、セキュリティチームが確認した内容に基づいて、その場でただちにポリシーを更新できるようになります。
クラウドネイティブのアーキテクチャー:Falcon Device Controlは100%クラウドで提供および管理されるため、即座に稼働、数分でポリシーを作成・展開できます。セキュリティチームは、関連するすべてのUSBデバイス情報を1か所で管理し、迅速かつ効果的に対応できるようになるため、複数のソリューションを利用し時間を取られる必要がなくなります。
このような機能を身に着ければ、セキュリティチームはUSBドロップ攻撃など、USBデバイス関連のリスクに効果的に対処できます。ユーザーが危険性を知らずにUSBデバイスをエンドポイントに接続した場合、セキュリティチームはFalcon Device Controlを介してイベントをすぐに確認し、以降の動きを阻止することができます。
追加情報:
ホワイトペーパー『SecuringYourDevicesWithFalconDeviceControl.』(英語)
CrowdStrikeFalconプラットフォーム製品のWebページ(英語)
CrowdStrikeの次世代型AV―FalconPreventの無料トライアル
*原文はCrowdStrikeBlog サイト掲載:Visibility and Granular Control: The Secret to Securing USB Devices In the Workplace
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
NIST CSF 2.0 リリース ~ 新たに追加された 6 番目の機能の役割
NIST による CSF の元のバージョン(および 1.1)を使用したことがある人は、その 5 つのコア機能(識別、防御、検知、対応、復旧)に馴染みがあるだろう。この 5 つの機能に欠けていたのが、CSF 2.0 で新たに追加された 6 つ目の機能「ガバナンス」である。
-
サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演
イスラエルのあるセキュリティアナリスト曰く、「サイバーインテリジェンスの9割はOSINTでいける」のだそうだ。真偽はともかく、だれでも合法に行うことができることだからといって、OSINTを侮るのは危険だ。
-
北 運営管理の賭博サイト/露 GPSスプーフィングで飛行妨害/安洵信息技術有限公司 社内情報流出 ほか [Scan PREMIUM Monthly Executive Summary 2024年2月度]
2 月は中国のセキュリティ企業である安洵信息技術有限公司(I-SOON)の社内情報が流出し、世間を賑わせました。同社は、中国の公安部、国家安全部、人民解放軍とも取引があり、APT への関与が指摘されています。