Darktrace事例 マルウェア感染による違法コンテンツへのアクセス

Case.5 マルウェア感染による違法コンテンツへのアクセス

業界: セキュリティ
侵入ポイント: ネットワークサーバー
見かけ上の目的: マルウェア感染により違法なウェブ利用の証拠を仕込み濡れ衣をきせる

中東のセキュリティ企業にDarktraceをインストールして 数週間後、Enterprise Immune Systemは複数の従業員のデスクトップPCが心当たりのない世界各地のウェブサイトにアクセスしていることを検出しました。これらのウェブサイトはランダムな、アルゴリズムで生成された名前を持っていました。このことは、意図された通常のトラフィックではないことを示唆していましたが、シグネチャベースの防御ではわかりませんでした。
Darktraceによる調査では、これらのウェブサイトは露骨かつ違法なコンテンツに関連しており、同社およびその従業員に深刻な法的リスクをもたらすところでした。

Darktraceの検出結果:

  • 7台の社内デスクトップPCが、自己署名証明書を発行するアルゴリズム生成されたホスト名に対してSSL接続を開始していました。
  • これらのウェブサイトは同社のネットワークにとっては通常とは異なるものでした。Darktraceがインストールされて以来これらのサイトおよびそのサーバーに接続した履歴がなかったからです。
  • SSL接続は異常に強力な暗号スイートを利用していました。
このアクティビティを中東で検知した直後、Darktraceは、同様の通信が米国の大手小売業者のウェブサイトでも行われているのを発見しました。この小売業者の端末も同じサーバー上の同じ不適切なウェブサイトにアクセスしていました。これにより、意図的なユーザーの行為よりもマルウェア感染が強く疑われました。
このケースも、Darktraceによりウェブ閲覧動作が同社のアメリカ国内のコンピューターと比較して異常であるとして検知されたものです。このアクティビティの背景にあったマルウェアは新しく、比較的高度であったためにどちらの企業の既存セキュリティ対策でも検知を免れていました。
感染が進行すれば、シグネチャベースの防御が更新されこのマルウェアの亜種を認識する前に社内の複数の端末が被害をうけていたことでしょう。