ダウンロードしたそのファイル、本当に安全ですか？

2019年12月9日 11:09

こんにちは。マネーフォワードセキュリティ推進部高田です。普段は社内インフラ環境のセキュリティをメインに担当しています。

今日はEDRを使って脅威疑いの調査を行うお話です。はっきり言って面白くありません。なんの役にも立たないかもしれません。時間の浪費かもしれません。ご注意ください。

Intuneは書きづらいのでやめた。カレンダー目次詐欺だな。

社内利用の端末

社内インフラって、メールがあったりチャットがあったり、様々なシステムが利用されていますよね。クラウド化が進んだことで、昔に比べればシステムの管理やセキュリティ対策はずいぶん楽になったと思います。

でもそのシステムを使うための端末はどうでしょう。MacだったりWindowsだったりAndroidだったりiOSだったり。そこそこの規模の企業で使うのであればこれらは必ず管理が必要です。MDMつかってデバイス管理、ウイルス対策、マルウェア対策など。ほかにもいろいろありますね。すべてがうまく動けばいいのですが、現実は厳しいです。外的要因も含め多かれ少なかれ問題が発生します。（え、お前のところだけだって？そんなことないよね？）

問題が発生したら？

問題が発生したらどんなことでも対処が必要です。端末が壊れた、ネットワークの調子が悪い、印刷できない。こんなものは対処すればいいのです。中には原因不明だったりすることもありますが、最終的に端末交換してでも動けばいいのです。

が、対処が非常に難しい（と自分では思っている）ものが1個あります。なんだと思います？

誤検知問題

Web上からダウンロードしてくるExcelファイルなどが、ウイルスやマルウェアと誤検知されることがある問題。

これは対処が難しい。誤検知？それとも本当にウイルスやマルウェア？そもそもどこから入手したファイル？本人が意図したダウンロード？ダウンロードしただけ？実行ファイルやマクロ？実行してしまってない？検知された脅威名は？などなど。確認しなければならないことがたくさんあります。

会社貸与の端末で脅威が見つかると、アラートが上がります。そしてアラートに気づき次第調査を開始。EDRを利用しているので、まずは端末のプロセス履歴や通信履歴を確認します。いつ、何のファイルを、どこからダウンロードして、どのような処理が行われたのか、といったことですね。

正しいサイトからダウンロードしたからOK？

この問題、簡単に言ってしまえばマクロつきExcelファイルでしばしば起こるんですが、ファイルをダウンロードするサイト自体は正規のものであっても、ダウンロードしてきたファイルが汚染されていない保証はどこにもありません。少なくともアラートが上がってしまったファイルに対して「いやいや、正しいサイトからダウンロードしたんでしょ？大丈夫だよ。」と言い切れる人はまずいないと思います。

じゃあどうするのさ？

これ、本当に困ります。悩みの種です。ユーザーはそのファイルが必要だからダウンロードした。でも怪しいファイルと勝手に判定されてアラートが上がり、結果的にダウンロードしたファイル自体も削除されてしまう。挙句「あなたの端末からアラートが上がってますけど、何かご存じではありませんか？」とヒアリングが入るわけです。

ユーザーからすると八方塞がり。しかも「よろしくない行いをしたかもしれない人」の疑惑まで降ってかかります。踏んだり蹴ったりです。

脅威と検知されたファイルが本当に脅威なのか？それともただの誤検知なのか？どうすれば判断がつく？残念ながらこの問題に対する100%の解を自分は持っていません。アラートが上がらない（安全だと推測される）ファイルでさえ本当に安全なのか誰にも分からないのに、アラートが上がるファイルはもっと信用なりません。自分がこのようなパターンについて対応する場合はWeb上でファイル名で検索したり、セキュリティベンダーのサイトで情報をあさってみたりします。が、この手のファイルはそもそも情報自体載らないのです。

情報があればいくらか確信をもってジャッジできますが、「脅威情報がない＝安全」ではないわけで、調査した結果ますます悩む羽目になります。

結局のところ

このような場合「EDRのログ含め、いろいろ調べたけれど怪しいと判断できる根拠は見当たらなかった。ダウンロード元はきちんとしてる。おそらく誤検知。マクロつきExcelだし。」という判断を下すことになります。かなり雑な判断ですが、EDRがあるからこそわかる情報をもとに、ある程度の自信をもって判断をします。

で、何を伝えたかったの？

EDRあると、ファイルのダウンロードURLとかプロセスの挙動や、通信先などがわかって有事の際の調査にとても役立つよ！ってこと。

実際にどのようなデータが流れたのかはEDRでは分からないし、すべてが把握できるわけじゃないけど、あるとないでは大違いです。

やられないようにすることも大事です。が、今のご時世、常に脅威にさらされているといっても過言ではありません。やられたとき（やられたかもしれないとき）に素早く調査、対処できる環境を整えておくことが大事だなと感じる次第です。

以上！

この記事が気に入ったらサポートをしてみませんか？