Case.2 ビデオ会議装置からのデータ流出

業界: 小売り
侵入ポイント: ホストネットワークから大量のデータを送信する
見かけ上の目的: 機密性データを引き出し、遠隔制御リンクを確立する

2016年春に大規模な世界展開を行ったある大手スポーツ用品企業は、世界各地に新しいオフィスを展開し、各国のチーム間の日々のコミュニケーションを推進するためビデオ会議システムを導入しました。しかし、これらの装置の設定には脆弱性があり、外部の攻撃者が会議用カメラを完全にコントロールし、これを使ってネットワークから大量のデータを取り出すことが可能でした。
Darktraceはまず、このカメラが類似のデバイスと比較して格段に大きなデータ量をネットワーク外に送信していることを検知しました。奇妙なことに、カメラはこの情報をTelnetで送信していました。通常このプロトコルはネットワーク内での使用を制限されています。Darktraceのアナリストはその後、ビデオ会議システム全体が不正なリモートアクセスを実行しており、攻撃者がこれを利用して悪意あるコードを実行していることを突き止めました。

Darktraceの検出結果:

  • Telnetを使って外部に接続している社内のコンピューターはこの装置だけでした。
  • 異常に大量の情報が6台の宛先不明な外部コンピューターにアップロードされていました。
  • Darktraceがインストールされる前に、バックドア型のトロイの木馬が装置にアップロードされていました。
  • この会社と無関係な外部サーバーがFTP、TelnetおよびHTTPを使ってカメラに接続していました。
侵入されたカメラからの異常なデータ送信はDarktraceの動作モデリングアプローチにより簡単に検出することが可能でした。しかし、これはシグネチャベースのモデルでは容易に見落とされるタイプの挙動です。このようなアクティビティは一概に不正であるとは言えないからです。

攻撃者はおそらくこれらの大規模な送信により、以下のいずれかを行おうとしていたはずです:
1. 社外秘の音声およびビデオフィードデータを含む企業情報を盗むこと。
2. 装置のリモート制御を行って別のネットワークにDDoS攻撃を仕掛けること。
どちらの状況もこの企業にとって深刻なセキュリティリスクであったはずです。この侵入により攻撃者は企業の活動の機密性とプライバシーを侵害し、外部の者の犯罪活動に対する法的責任を負わせる可能性もあったのです。
Darktraceの迅速なネットワーク解析により、この状況は即座に当該装置を切り離し、このリスクを招いた脆弱性を調査する必要があることが明らかになりました。