EDR ログで内部不正を検出できるのか Copilot に聞いてみた ログ分析勉強会 #5 2024 年 9 月 26 日(木) ログスペクト株式会社 日比野 恒

自己紹介 日比野 恒 - Hisashi Hibino Security Architect CISSP, CCSP, CISA, PMP, 情報処理安全確保支援士（000999） [執筆] ➢ Elastic Stack 実践ガイド [Logstash/Beats 編]（インプレス刊） ➢ AWS 継続的セキュリティ実践ガイド （翔泳社刊） [略歴] ⚫ 2018 年まで 10 年間 IT コンサルティング会社に在籍 ⚫ 2019 年より株式会社リクルートのセキュリティ組織に所属 ログ基盤やクラウドセキュリティに関するプロジェクトを推進 ⚫ 2024 年にログスペクト株式会社を設立し、現在に至る 2

本日伝えたいこと 3 • 内部不正による情報漏洩において どのようなログを活用すると効果 がありそうか • Google Drive に情報を持ち出す リスクシナリオを例に Defender for Endpoint のログが使えそうか • Defender のログを分析する上で Copilot for Security による自然 言語での問い合わせで内部不正を 見つけられるのか

アジェンダ 4 1. 内部不正とは 2. 内部不正におけるログ活用 3. Copilot を試してみた 4. 総括

1. 内部不正とは

本書における定義 6 • 本資料における内部不正の範囲は以下のように定義する。 1. 内部従事者（役員・従業員・派遣・常駐の業務委託者）による不正行為 2. 人為ミスによる誤送信・誤設定（公開設定など）は対象外とする 3. 機密性・完全性・可用性のうち、機密性に対する毀損（情報漏洩）を対象とする 4. メインはログの話なので、ここでは技術的対策を対象とする

内部不正とは 7 • 「内部不正による情報漏洩」は IPA が毎年公表している情報セキュリティ 10 大脅威の常連である。 出典: 日本プライバシー認証機構ブログ 2024年版情報セキュリティ10大脅威（過去順位の推移）

漏洩リスク: 高 漏洩リスク: 中 サーバサイド 内部不正における情報漏洩 8 • 社内で厳重に管理されている機密情報を右側に持ち出せるほど情報漏洩のリスクは高まる。 （アクセス制御や通信制御などの予防策で右側に出せないように制御することでとリスクは低減される） データベース ファイルサーバ オンプレ/クラウド クライアントサイド 業務端末 従業員/委託 （内部不正者） 社内LAN/VPN接続 外部サービス 自宅環境 外部記憶媒体 自宅 NAS ダウンロード 書き出し 私的クラウド環境 アップロード 漏洩リスク: 低 個人所有の環境 外部へ持ち出し

主な流出経路（MITRE Insider Threat TTP Knowledge Base v2.0を参照） 9 ユースケース 通信方向 論理/物理 ネットワーク サービス種別1 サービス種別2 ツール 送信手段 ドメイン 情報漏洩 社内から送信 社外アクセス ネットワーク 物理接続 スマホで撮影 インターネット ローカルネット パブリック プライベート 個人向け 法人向け ブラウザ Web Web ブラウザ以外 Mail 上記以外 ブラウザ Web Web ブラウザ以外 Mail 上記以外 共有 占有 共有 占有 クラウド間連携 社外からのアクセス（基本的には IP フィルタなどで予防する） USB などのケーブル接続で外部記憶媒体に書き出す 自宅 NAS、自宅プリンタ、Bluetooth 接続、Airdrop 接続など 自前で構築した公開システム クラウドサービスの機能でデータ連携 SSH、RDP、FTP など Google Driveなど Messenger アプリなど Y!メール、GMail宛など ※1 ※1 ドメインの共有とは、Google Drive のようにどの契約でもドメイン名が同じもの ドメインの占有とは、Box（エンタープライズ版）のように契約によってドメインが異なるもの

内部不正対策はなぜ難しいのか 10 • 正規のアクセス権を持っているため、予防策の基本であるアクセス制御は対策にならない。 また外部攻撃と違い、ログでの業務での正しい操作と不正行為による操作の見分けが明確に定義しづらい。 検知ロジックを 定期実行する 検知した メッセージを 確認する ダッシュボード のサマリーから 概況を把握する ドリルダウンで 詳細状況を把握 する 周辺ログの中身 を確認する (時間幅を広げ る、IDを絞るな ど) 自動 手動 結果を判定する (誤検知/違反) 検知精度が低い場合 この作業でスキルと工数が必要になる 下記のような環境の場合は、さらにログによる検出が難しくなる傾向がある • 業務の生産性や利便性を重視し、予防策による制御が緩い • 会社で利用できるツールが多岐にわたる（複数のオンラインストレージツールの併用など） • 兼務業務が多く担当する業務範囲が多岐にわたる（1人で複数部署の業務を担当）

2. 内部不正におけるログ活用

内部不正におけるログの果たす役割 12 • 単にログと言っても内部不正におけるシーンによって、ログの用途や使い方が異なる。 牽制 監査 監視 ✓ セキュリティ対策のうちの予防策に属する。 ✓ ログを取得し、定期的にモニタリングをしていることを就業規則やセキュリティ教育の中で 啓蒙することで内部不正する気を起こさせないための対策となる。 ✓ セキュリティ対策のうちの検知策に属する。 ✓ 内部不正は外部攻撃と異なり、正常操作と異常操作の見極めが難しい性質があり 監視ロジックが組みにくいため、不審な操作がないかを定期的にログを目検でチェックする。 ✓ セキュリティ対策のうちの検知策に属する。 ✓ 会社として許可していない違反操作が明らかな場合には監視ロジックを開発し ログを使ってリアルタイムに検知するように監視システムで実施する。 追跡 ✓ こちらはセキュリティ対策ではなく影響調査での活用となる。 ✓ インシデントの事後対応として、「誰が」「いつ」「何を」「どのようにして」持ち出したのか インシデント影響を把握するためにログを活用する。

内部不正対策で利用されるログ製品 13 • 「サーバに保存されているデータをアクセスする部分」と「PCから外部に送る部分」に大きく区分される。 （ログでの検知は、外部送信に関する PC 操作ログや通信ログを監査するか、不審な操作を UEBA/ITM で監視するケースが多い） サーバサイド データベース ファイルサーバ オンプレ/クラウド クライアントサイド 社内LAN/VPN接続 外部サービス 自宅環境 外部記憶媒体 自宅 NAS 個人所有の環境 PC 操作ログ PC 操作ログ クエリログ アクセスログ 外部へ持ち出し 業務端末 従業員/委託 （内部不正者） UEBA/ITM （監視） 例: Exabeam, Proofpoint ITM 例: CASB（Netskope, Zscaler） プロキシ/SWG（Palo Alto, 旧ProxySG） M365 メールボックス監査ログ 例: SKYSEA Client View, MaLion LANSCOPE Endpoint Manager Proofpoint ITM 例: PISO, Oracle AVDF 例: ALog, ELC Analytics ダウンロード 書き出し 私的クラウド環境 アップロード 通信ログ メールログ

社内環境 外部攻撃の監視ツールが有効活用できるのではないか 14 • ランサムウェア攻撃も内部侵入し、外部へ情報を持ち出すという導線なので、内部不正と同じ経路になる。 （ゆえに、ランサムウェアによる不審な挙動を検知する EDR 製品のログを活用することで内部不正による挙動も検出できるのではないか） サーバサイド データベース ファイルサーバ オンプレ/クラウド クライアントサイド 業務端末 社内LAN/VPN接続 攻撃者環境 C2サーバ 攻撃者 ❶ マルウェア感染 （不正プログラムによる遠隔操作） ❷ ダウンロード （不正取得） ❸ アップロード （情報流出） EDR EDR ログ ファイアウォール 外部へ持ち出し

Defender for Endpoint のログを使ってみる 15 • Defender for Endpoint のログを内部不正対策にも活用できるのではないか？という仮説に至った。 # ログ種別 スキーマ名 説明 1 検知したアラートに関するログ アラートと動作 AlertEvidence 2 検知したアラートに関する重要度、脅威の分類などの情報 アラートと動作 AlertInfo 3 ウイルス対策やエクスプロイト保護などによって検知されるイベントを含む、複数のイベントのログ デバイス DeviceEvents 4 端末上の証明書検証イベントから取得した署名済みファイルの証明書情報 デバイス DeviceFileCertificateinfo 5 ファイルの作成や変更、その他ファイルシステムに関するイベントログ デバイス DeviceFileEvents 6 DLL ファイルの読み込みイベントに関するログ デバイス DeviceImageLoadEvents 7 OS 情報を含む端末に関する情報 デバイス DeviceInfo 8 端末上のユーザーログオンやその他の認証イベントに関するログ デバイス DeviceLogonEvents 9 ネットワーク接続とそれに関連するイベントのログ デバイス DevicenetworkEvents 10 端末のネットワーク（NIC, IPアドレス, MACアドレスなど）に関する情報 デバイス DeviceNetworkInfo 11 プロセスの作成とそれに関連するイベントのログ デバイス DeviceProcessEvents 12 レジストリエントリの作成と変更に関するイベントのログ デバイス DeviceRegistryEvents データ種別 ログ 情報 ログ 情報 ログ ログ 情報 ログ ログ 情報 ログ ログ

3. Copilot を試してみた

Microsoft Defender Portal リスクシナリオとログ分析環境 17 • Defender for Endpoint のイベントログに対して、Copilot for Security を使って自然言語で問うてみる。 Copilot for Security 内部不正行為者 （Windows PC） ファイルアップロード（情報流出） 9/13 03:08 – 03:11 【リスクシナリオ】 Windows PC には EDR（Defender for Endpoint） がインストールされている。 Windows PC から Chrome ブラウザを使って私用に 利用している Google Drive のフォルダに大量のファ イルをアップロードする。 Advanced Hunting 分析担当 内部不正の兆候は起きていないですか？ どのようなクエリを投げれば良いですか？ マイドライブ > my-test-data01 FileName: PXL_xxx ×100 KQLクエリ 問い Defender for Endpoint ログ転送

Copilot for Security で問い合わせてみる 18 ❶ まずは緩めに聞いてみる ❷ 返されたKQLクエリを実行するも「該当事象なし」

再度 Copilot for Security に問い合わせてみる 19 ❸ 対象イベントをアラート検出したものに限定していたため デバイスのイベントログを対象にするように指示してみる ❹ またも「該当事象なし」

しつこく Copilot for Security を詰めてみる 20 ❺ ファイル名が Google Drive となっているものを検索しても 何も該当しないのは当然なため、懲りずに詰めてみる ❻ 変わらず「該当事象なし」

もう Copilot for Security に嫌われる覚悟で... 21 ❼ 追加で3回の質問を投げかけてみたもの 回答ができなくなってしまったため ここで諦めることにする

最終的には自力で調査してみた 22 • Copilot for Security が回答できなくなったため、自力で KQL クエリを書いてログ調査した。 1. ファイル操作のアクション種別の集計 === DeviceFileEvents | where Timestamp between (datetime(2024-09-12T18:05:00Z) .. datetime(2024-09-12T18:11:59Z)) | summarize count()by ActionType | sort by count_ desc -> ActionType が “FileUploaded” や “FileDownloaded” のログはなかった。 2. ファイル操作ログ === DeviceFileEvents | where Timestamp between (datetime(2024-09-12T18:00:00Z) .. datetime(2024-09-12T18:59:59Z)) | where FileName contains "PXL" | summarize count()by FileName | sort by count_ desc -> ファイル名にPXLという文字列を含むファイルの操作は一切ログに出ていなかった。 3. Google Drive との通信ログの URL ごとの集計 === DeviceNetworkEvents | where Timestamp between (datetime(2024-09-12T18:00:00Z) .. datetime(2024-09-12T18:59:59Z)) | where RemotePort == 443 | where RemoteUrl contains "google.com” | summarize count()by DeviceName, RemoteUrl | sort by count_ desc -> 該当するログはなかった。大半のログが ”RemoteUrl” の値が空になっていた。

4. 総括

まとめ 24 • 以下、総括です。 ✓ EDR は OS のバックグラウンドで動作しているプロセスの不審な動作を検出するツールであるため 人間によるフォアグラウンドの動作（アクティビティ）をログに記録するようにはできていない。 ✓ ランサムのような外部攻撃は EDR で検出できるが、内部不正の予兆検出は難しく アクティビティの監視は従来通り PC 操作ログ（Skysea や Proofpoint など）で実施する必要がある。 ✓ Copilot for Security は頑張ってくれたが、期待する回答はできなかった。 （今回のユースケースは見つけられないという回答を返してくれるようになると調査が捗る）

No content

【参考】内部不正対策で参考にしているドキュメント 26 • 情報セキュリティの内部不正対策を検討する際、必須で参考にしているドキュメント類です。 1. 組織における内部不正某ガイドライン（出典: IPA） https://www.ipa.go.jp/security/guide/insider.html 2. MITRE Insider Threat TTP Knowledge Base（出典: MITRE） https://mitre-engenuity.org/cybersecurity/center-for-threat-informed-defense/our-work/insider-threat-ttp-knowledge-base/ 3. 「内部不正による情報セキュリティインシデント実態調査」報告書（出典: IPA） https://www.ipa.go.jp/archive/security/reports/economics/insider.html 4. 2023年度「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書（出典: IPA） https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html