【技術者向け】SIEMでランサムウェアを検知する|相関ルールと監視設計
ランサムウェア攻撃は、侵入から暗号化開始まで数日から数週間の潜伏期間があることが一般的です。この潜伏期間中に攻撃を検知できれば、暗号化を防止し、被害を最小限に抑えることができます。
SIEM(Security Information and Event Management)は、複数のログソースを統合分析することで、ランサムウェアの初期兆候を検知する強力なツールです。本記事では、SOCアナリストやSIEM管理者向けに、攻撃フェーズ別の検知ポイント、収集すべきログソース、相関ルールの設計、主要SIEMでの検知設定、誤検知削減のチューニング手法を解説します。
ランサムウェア攻撃の検知ポイント
ランサムウェア攻撃は複数のフェーズで構成されており、各フェーズで検知の機会があります。
攻撃フェーズ別の検知ポイント
- 初期侵入:VPN不正アクセス、フィッシング
- 攻撃の起点となる初期侵入を検知します。VPN機器への不正アクセス、フィッシングメールの添付ファイル実行、公開サーバーへの攻撃などが該当します。通常と異なる時間帯・場所からのVPN接続、不審な添付ファイルの実行などを監視します。
- 偵察:内部スキャン、AD列挙
- 侵入後、攻撃者は内部ネットワークの偵察を行います。ポートスキャン、Active Directoryの列挙(LDAP検索の大量発行)、共有フォルダの列挙などの活動を検知します。
- 横展開:不審なログオン、Pass-the-Hash
- 攻撃者が他のシステムへ横展開する活動を検知します。短時間での複数システムへのログオン、通常と異なるアカウントでのログオン、Pass-the-Hash攻撃の痕跡などを監視します。詳細はActive Directoryをランサムウェアから守るをご参照ください。
- 権限昇格:特権アカウントの不正使用
- ドメイン管理者などの特権アカウントの不正使用を検知します。通常と異なる特権の使用、新規管理者アカウントの作成、グループメンバーシップの変更などを監視します。
- 暗号化前兆:大量ファイルアクセス、ボリュームシャドウコピー削除
- 暗号化開始直前の兆候を検知します。短時間での大量ファイルアクセス、ボリュームシャドウコピーの削除(vssadmin delete shadows)、バックアップサービスの停止などは、暗号化開始の直接的な兆候です。
検知の優先度
- 早期検知が被害軽減のカギ
- 攻撃フェーズが進むほど、被害の拡大は避けられなくなります。初期侵入や偵察フェーズで検知できれば、暗号化を完全に防止できる可能性があります。横展開フェーズでの検知でも、被害範囲を限定できます。
- 暗号化開始後では手遅れ
- 暗号化が開始されてからの検知では、すでに被害が発生しています。暗号化前兆の検知は最後の防衛線であり、ここでの検知・対応には即時性が求められます。
収集すべきログソース
効果的なランサムウェア検知のためには、適切なログソースを網羅的に収集する必要があります。
必須ログソース
| ログソース | 収集目的 | 優先度 |
|---|---|---|
| Windows Security Event Log | ログオン、特権使用、プロセス実行 | 必須 |
| Active Directory | 認証、グループ変更、オブジェクト操作 | 必須 |
| VPN/ファイアウォール | リモートアクセス、外部通信 | 必須 |
| エンドポイント(EDR) | プロセス、ファイル操作、振る舞い | 必須 |
| メールゲートウェイ | フィッシングメール、添付ファイル | 高 |
| プロキシ/DNS | Web通信、C2通信 | 高 |
| ファイルサーバー | ファイルアクセス、大量変更 | 高 |
| バックアップシステム | バックアップ操作、削除 | 中 |
ログ収集の設計
- ログ量の見積もり
- 各ログソースのEPS(Events Per Second)を見積もり、SIEMのストレージ容量とライセンスコストを計画します。大規模環境では、ログ量が膨大になるため、重要なイベントに絞った収集も検討します。
- 保持期間の設定
- ランサムウェアの潜伏期間を考慮し、最低90日以上のログ保持を推奨します。フォレンジック調査において、侵入時点のログが必要になるためです。
- 正規化とパーシング
- 異なるログソースからのイベントを統一フォーマットに正規化し、相関分析を可能にします。IPアドレス、ユーザー名、ホスト名などの共通フィールドを抽出します。
相関ルールの設計と実装
相関ルールは、複数のイベントを組み合わせて攻撃パターンを検知するSIEMの核心機能です。
ランサムウェア検知のための相関ルール
- 短時間での大量ログオン失敗
- パスワードスプレー攻撃やブルートフォース攻撃を検知します。例:5分以内に同一ソースから10回以上のログオン失敗(イベントID 4625)。
- 通常と異なる時間帯・場所からのアクセス
- ベースラインと異なるアクセスパターンを検知します。例:過去30日間にアクセス履歴のないIPアドレスからのVPN接続、深夜・休日の特権アカウント使用。
- 特権アカウントの異常な使用
- 通常と異なる特権アカウントの使用を検知します。例:ドメイン管理者アカウントでのワークステーションへのログオン(Tier Model違反)。
- ボリュームシャドウコピーの削除
- 暗号化前の典型的な活動を検知します。vssadmin.exe、wmic.exe等によるシャドウコピー削除コマンドの実行(イベントID 4688)。
- 大量のファイル拡張子変更
- 暗号化の直接的な兆候を検知します。短時間(例:1分以内)での大量のファイル拡張子変更をファイルサーバーログで検知。
- 不審なプロセス実行
- 攻撃ツールや横展開ツールの実行を検知します。PowerShellの難読化スクリプト実行、PsExec、Mimikatz等の既知ツールの実行。
ルール設計のポイント
- 誤検知(False Positive)の削減
- ルールを厳格にしすぎると誤検知が増加し、アラート疲れにつながります。業務パターンを理解し、正規の活動を除外するホワイトリストを設定します。
- 閾値の調整
- 検知条件の閾値(回数、時間等)は、環境に合わせて調整が必要です。最初は緩めの閾値で開始し、誤検知状況を見ながら段階的に調整します。
- ベースラインの確立
- 「通常と異なる」を判断するには、通常状態のベースラインが必要です。導入初期は学習期間を設け、正常なパターンを記録します。
相関ルールの優先度設定
| ルールカテゴリ | アラート重要度 | 対応目安 |
|---|---|---|
| 暗号化兆候(シャドウコピー削除等) | Critical | 即時(5分以内) |
| 特権アカウント異常使用 | High | 15分以内 |
| 横展開パターン検知 | High | 30分以内 |
| 不審なツール実行 | Medium | 1時間以内 |
| 認証異常(大量失敗等) | Medium | 4時間以内 |
| 偵察活動(スキャン等) | Low | 24時間以内 |
主要SIEMでの検知設定例
主要なSIEM製品でのランサムウェア検知設定の概要を解説します。
Microsoft Sentinel
- ビルトイン検知ルール
- Microsoft Sentinelには、ランサムウェア関連のビルトイン検知ルール(Analytics Rules)が多数用意されています。「Ransomware」でテンプレートを検索し、有効化することで即座に検知を開始できます。
- カスタムルールの作成
- KQL(Kusto Query Language)を使用してカスタム検知ルールを作成します。例えば、ボリュームシャドウコピー削除の検知クエリなどを独自に定義できます。
- ハンティングクエリ
- 定期的な脅威ハンティング用のクエリを作成し、潜在的な脅威を能動的に探索します。MITRE ATT&CKフレームワークに基づいたハンティングクエリも活用できます。
Splunk
- Splunk Enterprise Security
- Splunk Enterprise Security(ES)には、ランサムウェア検知用のCorrelation Searchが含まれています。ES Content Updateにより、最新の検知ルールが自動的に追加されます。
- 検索クエリの例
- SPL(Search Processing Language)を使用して、カスタム検索を作成します。Windowsイベントログ、Sysmon、EDRログなどを対象とした検索クエリを定義します。
- アラート設定
- 検索クエリにアラート条件を設定し、閾値を超えた場合に通知を発報します。メール通知、Slack連携、チケット起票などのアクションを設定できます。
その他のSIEM
- Elastic Security
- Elasticには、ランサムウェア検知用の事前定義ルールがElastic Security Detection Rulesとして提供されています。EQL(Event Query Language)を使用したカスタムルールも作成可能です。
- IBM QRadar
- QRadarには、ランサムウェア検知用のUse Caseパッケージが提供されています。Offense(インシデント)として自動集約され、対応優先度が付与されます。
- 国産SIEM
- 国産SIEMも多くがランサムウェア検知ルールをサポートしています。日本語でのサポートや、国内脅威情報との連携が特徴です。
※具体的なクエリ・設定の詳細は、各製品のドキュメントを参照してください。
アラートトリアージと対応フロー
検知されたアラートを効率的にトリアージし、適切に対応するフローを設計します。
アラートの優先度付け
| アラート種別 | 優先度 | 対応時間目安 | 対応内容 |
|---|---|---|---|
| 暗号化兆候 | P1(Critical) | 即時 | 端末隔離、インシデント宣言 |
| 特権アカウント侵害 | P1(Critical) | 5分以内 | アカウント無効化、調査開始 |
| 横展開検知 | P2(High) | 15分以内 | 影響範囲調査、封じ込め |
| 認証異常 | P3(Medium) | 1時間以内 | ログ分析、必要に応じてブロック |
| 偵察活動 | P4(Low) | 4時間以内 | 継続監視、パターン分析 |
対応フロー
- Level 1:初期トリアージ
- SOCアナリスト(L1)がアラートを受信し、初期トリアージを行います。誤検知の判別、アラートの優先度評価、初期情報の収集を実施します。
- Level 2:詳細調査
- L1で判断できないアラートは、上位アナリスト(L2)にエスカレーションします。L2は詳細なログ分析、関連イベントの調査、影響範囲の特定を行います。
- Level 3:インシデント対応
- ランサムウェアの可能性が高いと判断された場合、インシデント対応チーム(L3/CSIRT)に引き継ぎます。封じ込め、根絶、復旧の対応を実施します。詳細はランサムウェア感染時の対応手順をご参照ください。
- エスカレーション基準
- 特権アカウントの侵害、複数端末での検知、暗号化兆候の検知など、一定の基準を満たすアラートは自動的にエスカレーションします。基準は組織のリスク許容度に応じて設定します。
誤検知削減のチューニング
誤検知(False Positive)の削減は、SOC運用効率の向上に不可欠です。
誤検知の原因
- 正規の管理活動
- IT部門やヘルプデスクの正規の管理活動が、攻撃と誤認されるケースがあります。例:パッチ適用作業中の特権使用、定期的なスクリプト実行など。
- ベースラインの未確立
- 「通常と異なる」を判断するベースラインが確立されていないと、正常な活動もすべて異常として検知されます。導入初期の学習期間が不十分な場合に発生しやすい問題です。
- 閾値設定の問題
- 検知条件の閾値が厳格すぎると、正常な活動でもアラートが発報されます。環境に合わせた適切な閾値調整が必要です。
チューニングのアプローチ
- ホワイトリストの作成
- 正規の管理活動を行うユーザー、端末、時間帯をホワイトリストに登録し、検知対象から除外します。ただし、ホワイトリストが攻撃者に悪用されるリスクも考慮し、定期的なレビューを行います。
- 閾値の調整
- 誤検知が多発するルールの閾値を調整します。例えば、ログオン失敗の検知を「5分で10回」から「5分で20回」に緩和するなど。ただし、検知漏れのリスクとのバランスを考慮します。
- 時間帯・ユーザーによる例外
- 業務時間帯、特定の管理者アカウントなど、条件に応じた例外を設定します。例:平日9-18時の管理者操作は警告レベルを下げる、など。
チューニングサイクル
| フェーズ | 期間 | 主な作業 |
|---|---|---|
| 初期導入 | 1-2週間 | ルール有効化、ベースライン学習 |
| 初期チューニング | 2-4週間 | 誤検知分析、ホワイトリスト作成 |
| 安定運用 | 継続 | 定期レビュー、新規ルール追加 |
| 改善サイクル | 月次 | 検知漏れ分析、ルール最適化 |
よくある質問(FAQ)
- Q: SIEMだけでランサムウェアを完全に防げますか?
- A: いいえ、SIEMは検知ツールであり、防御ツールではありません。SIEMで検知したアラートに対して、適切な対応(端末隔離、アカウント無効化等)を実施することで、被害を防止・軽減できます。EDRと組み合わせることで、検知から対応までの自動化も可能です。
- Q: どのくらいのログ保持期間が必要ですか?
- A: ランサムウェアの潜伏期間を考慮し、最低90日以上を推奨します。可能であれば180日から1年の保持が望ましいです。法規制やコンプライアンス要件によっては、さらに長い保持期間が求められる場合もあります。ストレージコストとのバランスを考慮し、重要なログは長期保持、詳細ログは短期保持といった階層化も検討してください。
- Q: 中小企業でもSIEMは導入すべきですか?
- A: 規模と予算に応じた選択肢があります。フルスケールのSIEM導入が困難な場合、クラウド型SIEMサービス(Microsoft Sentinel、Splunk Cloud等)やMDRサービスの活用を検討してください。MDRサービスでは、SIEMの運用を外部に委託できるため、専任人材がいなくても高度な監視が可能です。
- Q: アラート疲れを防ぐにはどうすればよいですか?
- A: 誤検知の削減と優先度付けが重要です。高優先度アラートのみを即時通知し、低優先度アラートはダッシュボードでの確認にとどめるなど、通知方法を階層化します。また、類似アラートの集約、対応手順の標準化(Playbook)により、1アラートあたりの対応時間を短縮できます。
- Q: SIEMとEDRの違いは何ですか?
- A: EDRはエンドポイントに特化した検知・対応ツールで、端末上の詳細な振る舞いを監視します。SIEMは複数のログソース(EDR含む)を統合し、組織全体を横断的に監視します。両者は補完関係にあり、EDRで検知したイベントをSIEMに集約し、他のログソースと相関分析することで、より効果的な検知が可能になります。
まとめ:効果的なSIEM運用のために
- ログ収集の網羅性
- ランサムウェア攻撃の各フェーズを検知するため、必要なログソースを漏れなく収集します。特にWindows Security Event Log、VPN、EDRは必須です。
- 相関ルールの継続的改善
- 導入時のルールそのままではなく、誤検知状況や新たな攻撃手法に応じて継続的に改善します。定期的なレビューサイクルを確立してください。
- 対応プロセスの確立
- 検知だけでは被害を防げません。アラートからインシデント対応までのプロセスを整備し、訓練を行うことで、実際の攻撃時に迅速に対応できます。
関連記事
- ランサムウェアとは?仕組み・感染経路・対策を解説
- ランサムウェア対策ソフト比較(EDR・XDR・MDR)
- Active Directoryをランサムウェアから守る
- ランサムウェアのフォレンジック調査
- ランサムウェア感染時の初動対応
- ゼロトラストでランサムウェアを防ぐ
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
