PHASR は、AI がマシンとユーザーのふるまいを日々観察し、将来攻撃に悪用される可能性のある脆弱ポイントを見つけ出して、事前に閉じていくという仕組みを持つ。
今回は、現在もっとも深刻な脅威のひとつである LOTL 攻撃への実践的な取り組みを目的として、業種も利用環境も異なる 4 台のマシンを特別に編成し、PHASR を導入した。
そのうち数台は、この取り組みの趣旨に賛同してくれた外部企業の協力を得て参加しており、同意のもと観察対象に加えている。
多様な環境で AI がどのように学習し、どのような判断を下していくのか──その変化を追っていく。わずか 4 台という小規模な構成でも、PHASR は何かしらの“気づき”を示してくれるのだろうか。
- マシンA:弊社オフィス PC(ユーザー 2 名)
- マシンB:民間施設・設備監視用 PC
- マシンC:民間コンサルタント会社・オフィス PC
- マシンD:民間電力関連会社・営業リモートワーク用 PC(ユーザー 2 名)
Day 1:インストール
まずは PHASR のインストール作業から始めた。今回の 4 台はいずれも事前に GravityZone が導入済みのため、通常どおり Reconfigure > Add から EDR と PHASR アドオンを選択し、リモートで追加していく。
なお他社製のマルウェア対策ソフトが入っている環境(EDR がなくても可)の場合は、PHASR スタンドアローン版を利用することになる。その場合、設定画面では PHASR のみを選択して導入できるようになっている。
インストール後は、各マシンに適用されているポリシー(ルール)で PHASR が有効になっていることを確認。今回は、問題検出時に AI が自動でブロックする「Autopilot」ではなく、手動で確認しながら進める Direct Control モードを選択した。
AI の学習フェーズは最低 30 日間。ここからしばらくは、PHASR が各マシンのふるまいをどのように理解し、どんな判断を下していくのかを、気長に見守ることにする。
Day7:最初の報告
導入からまだ 1 週間ほどだが、PHASR から早くも最初のレポートが上がってきた。本来は 30 日ほどの学習期間を想定していたため、このタイミングでの通知は少し意外だった。
管理コンソールでPHASRページを確認すると、「PHASR は EDR の履歴データを使用して学習期間を短縮します」と記載がある。どうやら、既存の EDR が蓄積していたデータを AI が取り込み、学習を前倒しできたようだ。
さて、PHASR は各マシンのふるまいを学習したうえで、「この環境では使われていないため、悪用リスクが高い」と判断した5つ4種のツール使用について提案してきた。
名前をクリックすると詳細な記述となるが、どれも“OS標準の正規ツールだからこそ狙われやすい”という点を指摘している。
- NetshUsage.Firewall:netsh.exe(ファイアウォール操作)はOS標準のネットワーク設定を変更できる強力なツールだが、攻撃者はファイアウォール無効化に悪用する。PHASR は 利用実績なし と判断し、不要な実行の制限を推奨。
- FindstrGenericUsage:findstr(パスワード探索の悪用)OS搭載のテキスト検索ツールだが、攻撃者はファイル内のパスワード探索に使うことがある。この環境では 業務利用が確認されず、実行制限が望ましいと判断。
- PowershellDownloadsExecutable:PowerShell(スクリプト実行)は自動化や管理に便利な一方、悪意あるスクリプト実行や横移動に悪用されやすい。PHASR は 利用実績なし と判断し、恒久的な制限を推奨。
- Robocopy.MonitorSource:robocopy(変更監視モード)robocopy.exe は Windows に標準搭載されている。変更を検知して自動コピーする機能は、データ持ち出しの自動化に悪用される可能性がある。この環境では 監視モードの利用は見られず、恒久的な無効化が推奨された。
PHASR が示した4つの提案は、いずれも「使われていない正規ツールを、攻撃者に悪用されないよう封じる」 というシンプルな方針に基づいている。導入からわずか5日で、環境固有の“使われない機能”を、そこに潜むリスクを静かに指摘してくるあたり、これまでのセキュリティソフトとは違う。
なお今回は違うが自動対応のオートパイロットモードでブロックされた場合、ユーザはエンドポイントの画面を通して許可を要求でき、管理者が上記管理画面でそれを承認するしくみらしい。
Day 10:MacとLinuxに対応拡大
PHASR が、従来から予告されていた Mac と Linux への対応拡大を正式に開始した。これで対象プラットフォームは一気に広がったことになるが、今回の観察ではあくまで 当初の 4 台(Windows)構成のまま進めることにした。まずはこの 4 台で、AI がどこまで“ふるまい”を理解し、どんな判断を積み上げていくのかを見届けたい。
ちなみに最新のLOTL攻撃は、MacやLinux でも“正規ツールを悪用する”という点は変わらない。使われるのは特別なマルウェアではなく、一般的な管理者ツールだ。
たとえばネットワーク調査には nmap、長期的な潜伏には adduser を悪用して隠しアカウントを作成する。外部との通信もdnscat2を利用して、DNS トラフィックに紛れる C2(コマンド&コントロール)ツールを使うことで、従来のファイアウォールをすり抜けてしまう。
痕跡を消す段階では、ログや証跡を消去するために shred のような正規ユーティリティが使われることもある。そしてクラウド環境では、最終的に cpuminer などのマイニングツールを展開し、リソースを乗っ取って収益化するケースも報告されている。
侵入後の偵察、隠しアカウントの作成、痕跡消し、さらにはマイニングによるリソース搾取まで、すべて“そこに元々あるツール”で完結してしまう点が特徴だ。
PHASR が Mac や Linux へ対応を広げた背景には、こうした 非 Windows 環境でも深刻化する LOTL 脅威がある。どれも特別なマルウェアではなく、“そこに元々あるツール”を悪用するという点が共通している。
Day 13:対応推奨が追加される
AIがまた次々と推奨を出してきた。今回もまずはどのような点が攻撃対象となりうるのか、いくつかを取り上げそのレコメンド内容を確認してみよう。
- osrloader.exe(カーネルドライバの読み込み):OSR Loader は正規のドライバ読み込みツールだが、攻撃者が悪意あるカーネルドライバをロードするために悪用する可能性がある。これにより権限昇格やセキュリティツールの無効化など、深刻な影響を招く。利用実績がないため、osrloader.exe の恒久的な実行制限。
- lazagne.exe(メールクライアントの資格情報抽出):LaZagne はローカルに保存されたパスワードを抽出できるオープンソースツールで、メールクライアントの資格情報を盗み取る用途に悪用される。攻撃者はこれを使ってユーザーになりすまし、機密会話へアクセスできてしまう。利用実績がないため、lazagne.exe による資格情報検索機能の恒久的な制限。
- rundll32.exe(VBScript の実行):rundll32.exe は DLL の関数を実行する正規ユーティリティだが、攻撃者はこれを VBScript 実行に悪用し、ファイルレス攻撃の踏み台として利用する。利用実績がないため、rundll32.exe による VBScript 実行の恒久的な制限。
- psexec.exe(リモート実行による横移動):PsExec は Sysinternals の正規ツールで、リモート端末上でプロセスを実行できる。攻撃者はこれを横移動や遠隔実行に悪用し、ネットワーク内での感染拡大に利用する。利用実績がないため、psexec.exe の恒久的な実行制限。
この先、PHASR がどんな気づきを積み重ねていくのか──観察はまだ続いていく・・・