【注意喚起】無料ツール「FalconNest」を使用し、標的型サイバー攻撃の痕跡有無を調査してください

サイバーセキュリティサービス部の内田です。
大規模なサイバー攻撃事案に関連し、現在、ラックには大変多くのお問い合わせをいただいています。ラックは、同種のサイバー攻撃に不安を感じている企業に今すぐに実行していただきたい内容をまとめました。

昨日から報道で取り上げられたサイバー攻撃は、標的型攻撃（APT）と呼ばれる手法を使用したとされ、2007年前後より日本においても注視されています。標的型攻撃に対する懸念についてはラックでも随時、調査結果としてまとめ、公表してきました。

• CYBER GRID VIEW Vol.1
  日本における、標的型サイバー攻撃の事故実態調査レポート
• CYBER GRID VIEW Vol.2
  日本の重要インフラ事業者を狙った攻撃者

標的型攻撃の事案において、「侵害の発見」「被害拡大の防止」「封じ込め」を行うには、攻撃者の手口（TTPs：Tactics, Techniques and Procedures）を発見し、対処することが特に重要なポイントとなります。

ラックのサイバー救急センター^®では、2019年に国内で発生した複数の標的型事案への緊急対応において、それぞれ異なる攻撃者グループによる、さまざまな攻撃手口を確認しています。

攻撃の手口には、攻撃者は異なっても共通して利用されるものがあります。例えば、PowerShellを利用するケースや、Githubで公開されている「PoshC2」をRAT（Remote Administration Tool）として利用しているケースなどです。

標的型攻撃によるサイバー攻撃は、セキュリティ対策製品を導入しただけで完全に防ぐことは難しくなったと言われる時代となり、いかに攻撃を受け被害が発生しているかを知り、即座にダメージを最小化するアクションを起こせるかが最も重要です。

標的型攻撃の痕跡調査を実行してください

ラックは、企業や組織内で自社が標的型攻撃を受けていないかを、今すぐに確認することをお勧めします。

サイバー攻撃を受けたか否かを自社だけで調査することは大変困難であり、調査の過程で痕跡を失ってしまうリスクもあることから、可能な限りサイバー救急センターへの連絡をお願いしてまいりました。

しかし、多くの企業から、簡便に痕跡調査を行う方法を希望されたことにより、2018年に無料の痕跡調査ツール「FalconNest」を公開しています。

無料調査ツール「FalconNest」

「FalconNest」では次の2つの機能を提供しています。

• 侵害判定機能（Live Investigator）
  標的型攻撃の痕跡やマルウェア感染の痕跡がないかを調査する
• マルウェア自動分析機能（Malware Analyzer）
  発見された"疑わしいファイル"がマルウェアかを調査する

ラックが標的型攻撃事案で確認した攻撃手口のIOC（indicator of compromise）については、侵害判定機能（Live Investigator）で検出するよう随時アップデートを行っています。

特に攻撃対象となりうるドメインコントローラやサーバを対象に、FalconNestによるチェックを定期的に実施していただくことで、標的型攻撃の痕跡を初期段階で発見できる可能性が高まります。

「FalconNest」をご利用いただくに当たっては、メールアドレスの入力を含む登録作業が必要になります。あらかじめ利用規約およびプライバシーポリシーをご確認くださいますようお願いします。

※ FalconNestは大変多くの分析依頼をいただいているため、分析結果が得られるまでに時間がかかることがあります。予めご了承ください（1月23日時点）

「FalconNest」を実行した結果、重要度が「High」のアラートが表示された場合には至急の対応が必要です。対応に不安がある場合には、サイバー救急センターもしくは、専門家への相談をお勧めします。

ラックは、ネットワークやクライアントのログ解析やアプリケーションレイヤを含めた可視化、相関分析などを駆使するセキュリティ監視およびEDRの導入などで定常的にセキュリティを保つ仕組みの構築や、昨今話題となっている脅威ベースのペネトレーションテスト等を複合的に実施することが重要と考えています。しかし、今この瞬間にも皆さまの企業・組織から重要な機密情報が漏えいしている可能性は否定できません。皆さまの企業や組織のセキュリティが保たれているかどうか、今すぐ確認することを強くお勧めします。