SOCでよく見つかる攻撃

4- 30, 2022

近年、ますます高度化するサイバー攻撃に対抗するため、SOCと呼ばれる組織を構築する企業が増えています。
本記事ではそんなSOCについて深堀するのではなく少し観点を変えて、SOCではどのような攻撃が見つかっているのかという観点でお話したいと思います。もちろんSOCといってもそのサービスを提供している企業によって強みや弱み、またSOCサービスを利用している企業として重視している通信によって変わりますのでその点はご理解頂ければと思います。

SOCってなに?

まずはSOCってどんなものかという点についてお話します。
SOCとは、Security Operation Center(セキュリティオペレーションセンター)の略称で、24時間365日休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織です。SOCは自社で構築・運用する場合と、外部サービスを利用する場合があります。

(引用元:https://www.gate02.ne.jp/media/it/column_61/)

SOCは運営・運用している組織によってやり方や方針・内容は色々変わるものの、基本的には監視対象の企業における通信に対して、不審な通信の有無の監視、通信内容の調査・分析、監視結果や調査内容の報告やその対策のためのアドバイスといったサービスを提供する点はどこも共通しています。最初に記載している通り、近年のサイバー攻撃は高度化しており、サイバーセキュリティ対策として高い専門性が求められるため、SOCはその重要度が上がってきているサービスだと感じて言います。

SOCで見つかる攻撃

それではSOCで見つかる攻撃についてご紹介します。

スキャン行為

これは本当に日常的に検知しているもので、どこの企業でも必ずあると思います。
スキャン行為とは攻撃者がターゲットに対して実施する事前調査です。
スキャン行為自体が問題となることはありませんが、攻撃の前準備となるため注意が必要です。

JPCERT/CCでは以下の行為をスキャンと分類しています。
・弱点探索(プログラムのバージョンやサービスの稼働状況の確認等)
・侵入行為の試み(未遂に終わったもの)
・マルウエア(ウイルス、ボット、ワーム等)による感染の試み(未遂に終わったもの)
・SSH、FTP、TELNET 等に対するブルートフォース攻撃(未遂に終わったもの)
(引用:JPCERT/CCより[https://www.jpcert.or.jp/newsflash/2019072201.html])

SOCの監視の現場では、その企業のシステムに対して、各種ポートへのパケット通信や失敗しているにも関わらず、何度も繰り返されるログイン試行と想定されるログを確認すると、これってスキャンされているなと判断します。また、不正侵入検知システム(IDS)を導入していれば、不正な通信として検知し通知されることもあります。
このようなスキャン行為そのものを防ぐことはできないので、SOCとして対応する際はこのような行為が確認されたと報告し、スキャン行為の内容に伴って将来的に起こりそうな攻撃の対策を提案するという形になります。

DDos/Dos攻撃

この攻撃は上記のスキャン行為とは異なり、ターゲットが明確なので検知の頻度という意味では多くありませんが、DDoS攻撃は、IPAが公開している「情報セキュリティ10大脅威 2020」の10位にランクインしている「サービス妨害攻撃によるサービス停止(https://www.ipa.go.jp/security/vuln/10threats2020.html)」に関わるサイバー攻撃です。

それぞれの攻撃の違いはこちら
DoS攻撃:1台の機器から、対象の機器に過剰な負荷をかける攻撃
DDoS攻撃:複数の機器を「踏み台」に利用して、対象の機器に過剰な負荷をかける攻撃

とどちらもターゲットに大量の通信を送ってサービスを稼働しているシステムをダウンさせたりする攻撃となります。

SOCではログの内容だけでなく、通信量も把握して統計的に見ているので、特定の宛先やポートへの通信が増えて来ると設定している閾値等で段階的にアラートを発出します。サービス影響が起こるような通信量に達した場合はSOCとして即時システム管理者に連絡し、すぐにファイアウォール等による通信の遮断等の対応をしてもらうことになります。

脆弱性に関する攻撃

次に一般的によくイメージされる攻撃という意味では、こちらの攻撃になるでしょうか。脆弱性に関する攻撃もSOCとしては日々検知しており、その攻撃の成功の有無によって即時アラートとして報告したり、攻撃が失敗していれば週次や月次の報告書等での報告にとどめます。様々な製品やソフトウェアの脆弱性をつく攻撃で、本当に多種多様な攻撃となります。
特に狙われやすいのはやはりその企業や組織が外向け(インターネット上)に公開しているWebサイトやWebサービスに関する脆弱性が攻撃のターゲットになりやすく、監視しているSOCとしてもよく検知され、対応を求められることがあります。

例えばWebサービスに関するソフトウェアとしてApacheがありますが、Apacheは脆弱性が多く発見されるため、以下のような脆弱性をついた通信が検知されることがあります。Apacheは日本でもよく使われているソフトウェアなので、利用の有無や、利用の仕方によって対応が必要になったり、ならなかったりしますがSOCとしては、監視先のシステムでどのような製品を使っているかまでは詳細には把握していない場合が多いので、基本は報告して必要があれば対応してほしいと連絡しています。

・Apache HTTP Server Path Traversal Vulnerability
・Apache Log4j Remote Code Execution Vulnerability
・Apache Struts Content-Type Remote Code Execution Vulnerability

Webに関する脆弱性という意味では開発に使われるフレームワーク等の脆弱性への攻撃も見つかることがあります。
以下は中国でよく使われているThinkPHPというウェブアプリケーションフレームワークの脆弱性です。
このような攻撃はその企業でその製品を利用しているかの有無に関係なく受けるので、日本国内の企業や組織を監視対象としているSOCであればこのようなツールなんて使ってないだろう、と思いつつも報告対象となります。

・ThinkPHP Remote Code Execution Vulnerability

また、もちろん有名どころのMicrosoftの脆弱性に関する攻撃も見つかります。こちらもMicrosoft社がアップデートすることで対応したり、既に対応されていたりしますがもちろん報告対象となります。

・Microsoft Office File with Macros Detected
・Microsoft Windows SMB Negotiate Request

他にみつかる攻撃

ここまで、通信ログを監視して見つかる攻撃という観点でしたが、最後に少し視点を変えて、ランサムウェアやEmotetといった攻撃をどのように検知するかを簡単にご紹介します。
ランサムウェアとEmotetは違うものですが、どちらも何かのきっかけで不審なファイル等を開封してしまったことから、端末等に感染して悪さをするマルウェアという点では共通しています。

こういった攻撃は、通信ログというよりも、例えばメール監視をしている場合に、不審な添付ファイル付きのメールとして検知する場合があります。
この時点で見つかっている場合は、メール配送経路上のセキュリティ機能でメールの添付ファイルだけ消して受信者に配送(警告メッセージ付)したり、該当するメールそのものを消してしまったり、一旦隔離して分析したりと対応はいくつか分かれます。この点は組織ごとのやり方によって変わってきます。
(なお、Emotetは基本メールですが、ランサムウェアはメールだけでなくWebサイトや何らかのアプリを利用した場合等、色々あります。)

SOCとして慌てるのは、上記のセキュリティ機能でも不審なファイルだと認識されないまま受信者に届いてしまい、添付ファイルを開いてしまう場合です。

この場合、その組織でEDR(エンドポイント検知および対応)やXDR(拡張検知および対応)まで導入しており、SOCとしてそこまで監視していれば、端末内より不審なファイルがある、不審なふるまいをした、不審な通信が出ている、といった点で検知をします。
その端末内で攻撃がどこまで成立してしまったかによって検知してからの対応としては変わってきますのでここでは割愛します。ちなみに一番最悪と言っていいのは、情報を流出した場合です。現場だけでなく企業として外部向けの対応が求められます。SOC担当者にもその時の対応だけでなく、なぜ防げなかったのか、今後どうすればよいか?といった回答が組織上層部から求められます。
とはいっても、ちゃんとセキュリティ対策をしている組織であれば、端末が感染したところも見越して対策をしているはずなので、防げていることのほうが多いと思います。

いかがだったでしょうか?
ここまでSOCで見つかる攻撃を紹介してきましたが、参考になりましたでしょうか。
今回ご紹介した攻撃だけでなく、SOCでは日々様々な攻撃を検知し、それを分析し、適切に報告を実施しています。
攻撃の傾向は、その企業や組織の状況だけでなく国内外の情勢にも影響します。
サイバー攻撃に興味がある方は、一度SOCの現場を見てみるのも面白いと思いますよ。