新入社員がEDRの動きを追ってみた!アラートは何を見ているの?~新入社員のセキュリティ備忘録 #06~
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 井上
こんにちは!2年目社員の井上です。
本ブログは、私が学習した情報セキュリティについてのあれこれを備忘録として残していくシリーズ「新入社員のセキュリティ備忘録」第6弾になります。今回も、学習した内容を新入社員目線でまとめていきます。
(…新年度となり、2年目社員となってしまいましたが、「新入社員の心を忘れずに精進する!」という意味を込めて、今後も前回までと変わらずのシリーズ名でブログを執筆していきます!)
さて、前回の備忘録では、EDR(Endpoint Detection and Response)とは何か、そしてアンチウイルス(AV)とは何が違うのかを整理しました。調べていく中で、EDRは「侵入された後」に端末上で起きる不審な動きを検知し、被害の拡大を防ぐための仕組みだということが見えてきました。
↓↓↓ まだ#05を読んでいない方は、今回の記事とあわせてチェックしてみてください! ↓↓↓
【新入社員がEDRを調べてみた!アンチウイルスと何が違うの?~新入社員のセキュリティ備忘録 #05~】
https://www.niandc.co.jp/tech/20260401_72483/
一方で、前回の記事を書きながら新たに気になったのが、「EDRは実際に端末の何を見ているのか」「どのように不審な動きを判断しているのか」という点です。
そこで今回は、EDRについてもう少し一歩踏み込んで見ていきます。EDRが端末上のどのような情報を見ているのか、どのように不審な挙動を見つけるのか、そして検知後にどのような対応を行うのかを整理していきます。
今回もどうぞよろしくお願いします!
目次
1.EDRは端末の何を見ているの?
2.EDRはどうやって不審を見つけるの?振る舞い検知の考え方を見てみよう!
3.検知後の「対応」って何をしているの?
4.おわりに
1.EDRは端末の何を見ているの?
前回の備忘録では、EDRは「侵入後の不審な動きを検知し、対応する仕組み」だということを見てきました。
では、そのEDRは実際に端末のどこを見ているのでしょうか。
結論から言うと、EDRは端末の中で起きるさまざまな操作や変化の記録を見ています。
…たとえば、どのプログラムが実行されたか、どのファイルが作成・変更されたか、どこに通信したか、どのユーザがどのような操作をしたか、といった情報です。
こうした記録は、セキュリティの文脈では「ログ」や「テレメトリ」と呼ばれることがあります。少し難しく聞こえますが、ざっくり言えば、端末上で起きた出来事をあとから追えるようにした記録だと考えると分かりやすいです。
代表的なものを整理すると、次のようになります。
***
1.プログラムの実行状況
どのプログラムが実行されたか、また何をきっかけに動いたのかを確認します。
見慣れない実行ファイルが急に起動したり、普段は使わない管理ツールやコマンドが動いたりすると、攻撃の兆候である可能性があります。
2.コマンドラインや実行内容
プログラムが起動した事実だけでなく、どのようなコマンドや引数で実行されたのかも確認します。
同じツールでも、通常の管理作業で使われる場合と、不正な目的で使われる場合とでは、実行方法が異なることがあります。
3.ファイルの作成・変更・削除
不審なファイルの生成や、大量のファイル変更といった操作の痕跡を見ます。
ランサムウェアによる暗号化も、端末の中では「大量のファイルが急に書き換えられる」という挙動として表れることがあります。
4.ネットワーク通信の様子
端末がどこに通信していたのか、どのような外部接続が発生していたのかなどの端末起点の通信や宛先についてを確認します。見慣れない宛先に接続していたり、通常業務ではあまり見ない通信が発生していたりすると、注意が必要です。
5.ユーザの操作やログオンの情報
誰がその操作を行ったのか、どのユーザ権限で実行されたのかを確認します。
実際の攻撃では、侵入後に認証情報が悪用されたり、別のアカウントになりすましたり、より強い権限を持つユーザとして操作されたりすることがあります。
6.レジストリ変更や永続化の動き
設定変更や自動起動設定の追加など、端末に残り続けるための動きを確認します。
攻撃者は、一度侵入したあとも継続して端末を操作できるように、設定を書き換えたり、自動起動の仕組みを追加したりすることがあります。こうした動きは、いわゆる「永続化」と呼ばれるものです。
***
…ここまで見ると、EDRは本当にいろいろな情報を見ていることが分かりますね。
EDRは端末の中で起きる「プログラムの実行」「コマンドの内容」「ファイル操作」「通信」「ログオン」「設定変更」などの幅広い情報を見ています。
そして、それらを単発ではなく「一連の挙動」として追えるようにすることで、不審な動きを見つけやすくしているわけです。
…前回の記事では、EDRは「侵入後に気づいて対応するための仕組み」だと整理しました。
今回見てきた内容を踏まえると、その第一歩は、「まず端末の中で何が起きているのかを見えるようにすること」だと言えそうですね!
では、EDRはこうした情報をもとに、具体的にどのようにして「不審」と判断しているのでしょうか。
次章では、そのカギになる「振る舞い検知」の考え方を見ていきます。
2.EDRはどうやって不審を見つけるの?振る舞い検知の考え方を見てみよう!
前章では、EDRが端末上のさまざまな情報を見ていることを整理しました。では、EDRはそうした情報をもとに、どのようにして「これは不審かもしれない」と判断しているのでしょうか。
ここで重要になるのが、「振る舞い検知」という考え方です。
セキュリティ対策というと、これまでは「悪意のあるファイルを見つけて止める」というイメージが強かったかもしれません。
それもそのはずで、従来のアンチウイルスでは、既知のウイルスの特徴をまとめたシグネチャファイルを用いて、それに一致するものを検知する「パターンマッチング」という手法が長く利用されてきました。これにより、悪意のあるファイルを見つけては実行を止めることができます。
そしてこの方法は、「すでに知られている脅威」に対してはとても有効です。
・・・一方で、最近の攻撃はそれだけでは捉えにくくなってきています。
たとえば、攻撃者は正規のツールを悪用したり、端末にもともと入っている機能を使ったりしながら、不審な操作を進めることがあります。この場合、使われているプログラム自体は珍しいものではないため、「このファイルは危険です」とファイル単体だけを見ても、すぐには判断できないことがあります。
そこでEDRでは、ファイルそのものだけでなく、端末上でどのような動きが起きているかにも注目します。
振る舞い検知をざっくり言うと、そのプログラムや操作が、端末上でどのような動きをしたかを見て判断する方法です。
たとえば、次のような動きは、不審な挙動として注目されやすい例です。
・文書ファイルを開いた直後に、コマンド実行ツールが起動する
・スクリプト実行環境が不自然な引数付きで動く
・普段は行われない設定変更が突然発生する
・短時間のうちに複数の不自然な操作が続けて行われる
・不審なプロセスの実行後に、見慣れない外部通信が発生する
こうした動きは、その所作ひとつひとつだけを見ると判断が難しいこともあります。しかし、前後の流れも含めて見ると、「普通の業務操作とは少し違うのではないか」と気づきやすくなります。
つまり「振る舞い検知」は、「何という名前のファイルだったか」だけでなく、「それが端末の中で何をしたか」を見る考え方だと言えます。
・・・ここが、振る舞い検知の面白いところでもあり、重要なところでもあります。たとえば、PowerShellやコマンドプロンプトのようなツールは、日常の運用でも使われます。そのため、「このツールが動いたから即アウト」と単純に判断することはできません。
ただし、文書作成アプリの直後にPowerShellが起動し、その後さらに設定変更や外部通信が続いていたとしたら・・・どうでしょうか。一般的な業務の流れとしては少し不自然に見えますよね。
このようにEDRは、正規ツールかどうかだけで判断するのではなく、どのような流れの中で使われたのかを見ることで、不審な挙動を捉えようとします。
振る舞い検知を理解するうえで大事なのは、単発の出来事だけで判断しているわけではないという点です。上記の動作は、それぞれを1つずつ切り取れば、単独では「業務で使われることもある操作」に見えるかもしれません。
しかし、これらが連続して起きているとしたら、攻撃の流れとして疑う理由になります。つまりEDRの強みは、端末上のイベントを時系列でつなげて見られることにあります。
前章で見た「プロセス実行」「コマンドライン」「ファイル操作」「通信」「設定変更」といった情報が、ここで生きてくるわけです。
…最近の攻撃では、侵入直後に大きな被害が出るとは限りません。むしろ、最初は目立たない形で動き始め、少しずつ権限を広げたり、別の端末に広がったりしながら、被害を大きくしていくことがあります。そのため、EDRに求められるのは、「完全に確定した悪性だけを見つけること」だけではありません。被害が広がる前の「怪しい兆候」を早めに拾う、ということもとても重要です。
もちろん、業務で使われる正規のツールと攻撃の動きは、見分けが難しいこともあります。だからこそEDRは、単純に1つの操作だけを見るのではなく、複数の挙動を組み合わせながら、不審な流れを見つけようとしています。
ここまでの内容をまとめると、振る舞い検知は、既知のマルウェアを見つけるというより、侵入後に端末上で起きる不審な動きを見つけるのに強い考え方です。こうしたものに気づくために、EDRは端末上のイベントを広く見ながら、「単発」ではなく「流れ」で捉えているのです。
前回の記事では、EDRはアンチウイルスのように「防ぐ」ことだけでなく、「侵入後に見つけて対応する」ことが重要だと整理しました。今回見てきた「振る舞い検知」は、「侵入後に見つける」ための中心的な考え方だと言えそうです。
では、EDRがこのようにして侵入後の不審な挙動を見つけたあと、実際にはどのような「対応」が行われるのでしょうか。
次章では、検知後の対応について見ていきます。
3.検知後の「対応」って何をしているの?
前章では、EDRが端末上のさまざまな挙動をもとに、「何かおかしいかもしれない」という不審な流れを見つける仕組みについて見てきました。
では、実際にそうした不審な挙動を検知した後、EDRは何をしているのでしょうか。
ここでは、代表的な「対応」についていくつか見ていきます。
- 端末の隔離
まず端末の隔離は、対象となる端末をネットワークから切り離し、ほかの端末への横展開や外部との不審な通信を防ぐための対応です。被害をそれ以上広げないための、初動として重要な手段の1つです。 - 不審なプロセスの停止
次に不審なプロセスの停止は、怪しい動きの原因になっている処理を止める対応です。もし不審なコマンド実行や外部通信が進行している場合、早い段階でそのプロセスを止められれば、その後の攻撃の進行を抑えられる可能性があります。 - 調査
検知後には調査も欠かせません。どのプロセスがきっかけだったのか、どのユーザ権限で動いていたのか、どんな通信や設定変更が行われたのかを確認しながら、何が起きたのかを整理していきます。 - 影響範囲の確認
不審な挙動が1台の端末だけで起きているとは限らないため、同じファイルやコマンド、アカウント、通信先がほかの端末でも見られないかを確認し、被害がどこまで広がっているかを把握します。
…簡潔に表としてまとめると、以下のようになりますね。
| 対応内容 | 何をするの? | 目的 |
|---|---|---|
| 端末の隔離 | 対象端末をネットワークから切り離す | 横展開や情報持ち出しなど、被害の拡大を防ぐ |
| 不審なプロセスの停止 | 怪しいプロセスや不正な動きの起点になっている処理を止める | その後の不正操作や追加攻撃を防ぐ |
| 調査 | プロセス、ユーザ、通信、設定変更などを時系列で確認する | 何が起きたのか、どこまで進んだのかを把握する |
| 影響範囲の確認 | 似た挙動がほかの端末やアカウントにないかを調べる | 被害がどこまで広がっているかを確認する |
このように一口に「対応」と言っても、その中には、さまざまな内容が含まれていることが分かりますね!
また、こうした対応は単独で行われるものではなく、前章で見た「検知」と組み合わさることで、はじめてインシデントへの初動対応として意味を持ちます。
つまりEDRは、不審な挙動を見つけるだけでなく、その後の対応につなげるところまで含めて重要な仕組みだと言えそうです。
以上が、EDRの動きについての詳しい内容になります。
4.おわりに
今回の備忘録#06では、EDRの動きについて、「検知」と「対応」のところに、深く踏み込んでみました。
あらゆる不審な挙動を「検知」できたとしても、その後に何もできなければ、被害が広がってしまう可能性があります。
逆に、早い段階で異常に気づき、端末の隔離や不審プロセスの停止、影響範囲の確認といった「対応」につなげることができれば、攻撃の拡大を防げる可能性が高まりますよね。
…EDRは「侵入後に見つけて止める」ための仕組みだと理解しましたが、今回見てきた対応の流れを見ると、その「止める」という部分には、隔離・停止・調査・封じ込めといった複数の意味が含まれていることが分かりますね。
こうして見ると、EDRは単なる「悪意のある動きの監視ツール」ではなく、「インシデント対応の初動を支える仕組み」として重要な仕組みであると理解できました!
今回の記事が、同じようにEDRを理解していく方たちにとって、少しでも参考になればうれしいです。
今後も引き続き、学んだことをまとめていきたいと思います。
また、EDRに興味を持たれた方は、以下のリンクからお気軽にお問い合わせください。
最後まで読んでいただき、ありがとうございました!
