PHASR 観察日記:AI が日々つくるサイバー攻撃対象領域(脆弱性)のない世界


 PHASR は、AI がマシンとユーザーのふるまいを日々観察し、将来攻撃に悪用される可能性のある脆弱ポイントを見つけ出して、事前に閉じていくという仕組みを持つ。

 今回は、現在もっとも深刻な脅威のひとつである LOTL 攻撃への実践的な取り組みを目的として、業種も利用環境も異なる 4 台のマシンを特別に編成し、PHASR を導入した。

 そのうち数台は、この取り組みの趣旨に賛同してくれた外部企業の協力を得て参加しており、同意のもと観察対象に加えている。

 多様な環境で AI がどのように学習し、どのような判断を下していくのか──その変化を追っていく。わずか 4 台という小規模な構成でも、PHASR は何かしらの“気づき”を示してくれるのだろうか。

  • マシンA:弊社オフィス PC(ユーザー 2 名)
  • マシンB:民間施設・設備監視用 PC
  • マシンC:民間コンサルタント会社・オフィス PC
  • マシンD:民間電力関連会社・営業リモートワーク用 PC(ユーザー 2 名)

Day 1:インストール

 まずは PHASR のインストール作業から始めた。今回の 4 台はいずれも事前に GravityZone が導入済みのため、通常どおり Reconfigure > Add から EDR と PHASR アドオンを選択し、リモートで追加していく。

 なお他社製のマルウェア対策ソフトが入っている環境(EDR がなくても可)の場合は、PHASR スタンドアローン版を利用することになる。その場合、設定画面では PHASR のみを選択して導入できるようになっている。

 インストール後は、各マシンに適用されているポリシー(ルール)で PHASR が有効になっていることを確認。今回は、問題検出時に AI が自動でブロックする「Autopilot」ではなく、手動で確認しながら進める Direct Control モードを選択した。


 AI の学習フェーズは最低 30 日間。ここからしばらくは、PHASR が各マシンのふるまいをどのように理解し、どんな判断を下していくのかを、気長に見守ることにする。


Day7:最初の報告

 導入からまだ 1 週間ほどだが、PHASR から早くも最初のレポートが上がってきた。本来は 30 日ほどの学習期間を想定していたため、このタイミングでの通知は少し意外だった。

 管理コンソールでPHASRページを確認すると、「PHASR は EDR の履歴データを使用して学習期間を短縮します」と記載がある。どうやら、既存の EDR が蓄積していたデータを AI が取り込み、学習を前倒しできたようだ。

 さて、PHASR は各マシンのふるまいを学習したうえで、「この環境では使われていないため、悪用リスクが高い」と判断した5つ4種のツール使用について提案してきた。

 名前をクリックすると詳細な記述となるが、どれも“OS標準の正規ツールだからこそ狙われやすい”という点を指摘している。

  • NetshUsage.Firewall:netsh.exe(ファイアウォール操作)はOS標準のネットワーク設定を変更できる強力なツールだが、攻撃者はファイアウォール無効化に悪用する。PHASR は 利用実績なし と判断し、不要な実行の制限を推奨。
  • FindstrGenericUsage:findstr(パスワード探索の悪用)OS搭載のテキスト検索ツールだが、攻撃者はファイル内のパスワード探索に使うことがある。この環境では 業務利用が確認されず実行制限が望ましいと判断。
  • PowershellDownloadsExecutable:PowerShell(スクリプト実行)は自動化や管理に便利な一方、悪意あるスクリプト実行や横移動に悪用されやすい。PHASR は 利用実績なし と判断し、恒久的な制限を推奨。
  • Robocopy.MonitorSource:robocopy(変更監視モード)robocopy.exe は Windows に標準搭載されている。変更を検知して自動コピーする機能は、データ持ち出しの自動化に悪用される可能性がある。この環境では 監視モードの利用は見られず恒久的な無効化が推奨された。

 PHASR が示した4つの提案は、いずれも「使われていない正規ツールを、攻撃者に悪用されないよう封じる」  というシンプルな方針に基づいている。導入からわずか5日で、環境固有の“使われない機能”を、そこに潜むリスクを静かに指摘してくるあたり、これまでのセキュリティソフトとは違う。

 なお今回は違うが自動対応のオートパイロットモードでブロックされた場合、ユーザはエンドポイントの画面を通して許可を要求でき、管理者が上記管理画面でそれを承認するしくみらしい。


Day 10:MacとLinuxに対応拡大

 PHASR が、従来から予告されていた Mac と Linux への対応拡大を正式に開始した。これで対象プラットフォームは一気に広がったことになるが、今回の観察ではあくまで 当初の 4 台(Windows)構成のまま進めることにした。

 まずはこの 4 台で、AI がどこまで“ふるまい”を理解し、どんな判断を積み上げていくのかを見届けたい。


この先、PHASR がどんな気づきを積み重ねていくのか──観察はまだ続いていく・・・