ID盗難、WhatsApp、そして悪意あるMicrosoft Wordファイル、これらに共通するものとはなんでしょうか?その答えを知るには、少し過去にさかのぼる必要があります。
COVID-19のパンデミックが起こってから数年が経ちますが、医療機関は依然として組織的なサイバー犯罪の格好の標的であり、製薬会社はデータの安全確保に対する強いプレッシャーに直面し続けています。リモートワークやハイブリッドワークへのシフトが広まったことで、あらゆる業界でクラウドの導入が進み、特に遠隔医療や新たなリモートワークの要件が増加している医療機関では、クラウドの導入が拡大しています。
医療業界が引き続き注目を集める中、サイバー攻撃者はさらに巧妙に組織への侵入を図っています。
その手口とは、採用担当者を装った攻撃者が、採用業務に豊富な経歴を持つ実在の人物になりすまし、不正なLinkedInプロフィールを活用するというものです。この脅威者は、数日間にわたってWhatsAppを介してターゲットと親密な関係を築きながら、有利な仕事のオファーという誘い文句で人々に接触します。最後に、ターゲットは感染したWord文書を受け取り、それを開くと攻撃者は組織のシステムにアクセスできるようになります。このソーシャルエンジニアリングの手法によって、ハッカーは、会社の従業員を標的にし危険に晒すのです。これは、多国籍製薬会社であるサノフィの従業員に対して実際に行われました。
私は、サノフィのサイバーセキュリティ・グループ責任者であるJean-Yves Poichotte氏と、サノフィのサイバーセキュリティ・オペレーション・センター責任者であるRichard Webster氏に、この攻撃がどのように展開したのか、そしてなぜデータ漏洩を防ぐためにVectra AIとの提携が重要なのかについて話し合う機会に恵まれました。
「私たちには多くのベンダーがいますが、真のパートナーシップを築ける企業は稀です。Vectraはその姿勢を持っている数少ない企業の一つです。」(Jean-Yves氏)
Vectraで価値を高める
アカウントが侵害され、攻撃者が正規のツールやプロセスを使って組織に侵入した場合、攻撃は“通常”のノイズに紛れて目立ちません。このようなケースでは、エンドポイント検知&対応(EDR)ソリューション自体がすでに感染しており、脅威に対処できない状態です。サノフィがVectraで解決したのはまさにこの問題でした。
当社は、サノフィのセキュリティの取り組みにおける特定のギャップを埋め、企業と AWS インフラストラクチャを含むクラウド展開の間の完全な可視性とカバー範囲を提供しました。 レッドチームのテスト中、サノフィは、EDR などの既存のツールをバイパスし、セキュリティ情報およびイベント管理 (SIEM) システムでは検知できない攻撃を検出するソリューションを必要としていました。
Vectraプラットフォーム は、AI由来の機械学習アルゴリズムを適用し、進行中のサイバー攻撃行動を自動的に検知、優先順位付けし、対応します。Vectra AIは、ネットワークとクラウド全体、そしてBYOD(Bring Your Own Device)やIoT(Internet of Things)を含むすべてのアプリケーション、オペレーティングシステム、デバイスを高精度に可視化します。
そのため、クラウドを含むあらゆる環境に検知範囲を拡大することが、サノフィの戦略の中核を成していました。その一環として、サノフィはVectra AIを活用してAWS環境における挙動を分析しました。この重点は、2024年にAWSカバレッジへの新たなコミットメントを表明したことで再確認されました。
AWSの可視性は不可欠であることが証明されました。これにより、サノフィは他のツールでは見逃していた行動を検知し、攻撃がエスカレートする前にリアルタイムで対応できるようになりました。AWSインフラストラクチャから直接シグナルを抽出できるため、エンドポイントツールだけでは検出できなかったアクティビティを調査することができました。このレベルの洞察は、攻撃者の動きを追跡し、決定的な行動をとる上で不可欠でした。
「当社は長年にわたりAWSとVectraの顧客です。Vectraは、検知とレスポンスツールキットの重要なコンポーネントとして頼りにしています」とJean-Yves氏は説明します。「Vectraの脅威検知能力と、フォレンジック調査および調査のための豊富なデータは、当社のエンタープライズネットワークとクラウド管理プレーンの監視に活用されており、コンテキストを提供し、強力な機能となっています。ネットワーク、アイデンティティ、クラウド全体にわたる攻撃振る舞いの重要な可視性をもたらします。具体的には、積極的なレッドチームテストにおいて、強力なクラウド検知機能を実感しました。また、インスタント調査ページには、アカウントがテナント全体で実行したすべてのアクションが表示されるため、効率的な調査機能となっています。実際の複雑なインシデントにおいて、Vectraは膨大なコンテキスト情報を提供します。」
Vectraのこうしたカバレッジを提供する能力とAWS VPC Traffic Mirrorデータの追加により、攻撃者が回避することはほぼ不可能になります。最もリスクの高い脅威を高い確度で優先付けすることで、脅威監視の自動化に確実なアプローチが可能になります。Richard氏によると、Vectraのテクノロジーこそが、組織が攻撃を検知し、阻止することができた理由です。
SOCを増強するNDR
サノフィのセキュリティアーキテクチャは複雑なオペレーションに対応できるように構築されているにもかかわらず、攻撃はすでに導入されているツールを回避してしまいました。Richard氏は、「私はいつもチームに、常に新しい検知網を構築する必要があると話しています。検知網のレイヤーを次々に追加していますが、今回の攻撃で機能したのは、そのうちの2つだけです」と言います。その2つとは、EDRとNDRです。
Jean-Yves氏とRichard氏に、EDRとNDRのどちらを選ぶかを尋ねると、Richard氏は、セキュアな環境を維持するためにはどちらも不可欠だと答えました。「どちらか一方ではなく、両方が必要です。可能な限り可視化したいし、EDRとNDRで深いフォレンジックを行いたいからです」と説明します。攻撃者がエンドポイントデバイスに侵入してEDRソリューションを無効化できるのに対し、NDRでは同じことができないことを説明しました。「NDRを無効化するのはより困難です。」
EDRはエンドポイントにとって重要で、NDRはネットワークに対して重要になります。サノフィはDetectとRecallを併用することで、脅威を検知し、攻撃の進行を追跡しました。Detectがリアルタイムで支援する一方で、Recallはその後、サノフィのチームがフォレンジックを実施するのを支援しました。Richard氏は、次のように説明します。「この特定の攻撃では、Recallに入ると、共有の列挙を一行ずつ正確に見ることができました。ファイルのオープン、読み込み、ファイル名、バイト数まで見ることができました。」このような攻撃の完全な可視化によって、チームは今後同様の手口を防止するための検知フレームワークを作成する際に、教育され、情報を得ることができます。
サノフィと Vectra AI : より良い関係を
インタビューの最後に、両社のパートナーシップの強みについて再確認がありました。今回のように、攻撃者が認証情報を盗み、エンドポイントソリューションを回避してきた場合でも、NDRがそのギャップを埋めることができました。
本事例は、両チームの熱意ある連携と技術的協力が結実した成果でもあります。Vectraはプラットフォームを提供し、サノフィは独自のユースケースを持ち込み、互いの強みを活かして革新を実現しました。
サノフィがセキュリティオペレーションの進化とクラウドフットプリントの拡大を続ける中、ジャン=イヴとリチャードは、Vectraとの継続的なパートナーシップに期待を寄せています。Jean-Yves氏は、「Vectraは革新性と高度な技術的価値をもたらしてくれます。サノフィの私のチームはソリューションに関するフィードバックを提供してくれます。この組み合わせこそが、進歩と成熟への道なのです」とコメントしています。
最後に、視聴者からの質問に答える形でQ&Aセッションを行いました。時間の都合上、すべての質問にライブで回答することはできませんでしたが、文面にて別途返答をしています。
サイバー犯罪者がLinkedIn、WhatsApp、Microsoft Wordを悪用して攻撃を実行するために使用した手法と、サノフィが検知 、Vectraを使用して攻撃を阻止した方法の全貌は動画 (https://www.youtube.com/watch?v=dgyga7DYs6E&t=84s) でもご紹介しています。