はじめに:限られた情報からのインシデント調査
セキュリティアナリストにとって、インシデント発生時に何が起こったのかを解明することは日常業務の重要な部分です。ログ、アンチウイルス検出、その他の手がかりを繋ぎ合わせることで、攻撃者がどのように初期アクセスを獲得し、その後どのような行動を取ったかを理解することができます。しかし、常に明確な状況が得られるわけではありません。時として、可視性を制限する外部要因が存在します。例えば、特定の Huntsress エージェントがすべてのエンドポイントに展開されていなかったり、侵害後に導入されたりするケースです。
最近、Huntress Labs は、上記の要因が両方とも該当するインシデントを分析しました。2025年10月11日、ある組織が Qilin ランサムウェア感染後に Huntress エージェントを導入しましたが、それは当初単一のエンドポイントのみでした。このインシデントにおける可視性は、キーホールから覗くというよりも、ピンホールから覗くような状況でした。それでも、Huntress のアナリストはインシデントに関する多くの情報を引き出すことができました。
Qilinインシデント:初期の発見
Huntress エージェントが Qilin ランサムウェア感染後の単一エンドポイントにインストールされた際、利用可能な手がかりは限られていました。エンドポイント検出応答(EDR)や SIEM テレメトリーはなく、Huntress 固有のランサムウェアカナリアもトリガーされていませんでした。単一のエンドポイントのみだったため、Huntress アナリストが頼りにできたのは、マネージドアンチウイルス(MAV)のアラートのみでした。エージェントが導入されると、SOC は既存の MAV 検出について警告を受けました。
アナリストは、Windows イベントログ(WEL)の特定のサブセットからファイルのタスキングを開始しました。これらのログから、2025年10月8日に攻撃者がエンドポイントにアクセスし、Total Software Deployment Service と、IPアドレス 94.156.232[.]40 に関連する不正な ScreenConnect RMM をインストールしたことが判明しました。この IP アドレスを VirusTotal で検索した結果、さらに詳細な情報が得られました。
興味深い点として、LogMeIn が正規にエンドポイントにインストールされたのは2025年8月20日でしたが、10月8日には不正な ScreenConnect インスタンスが C:\Users\administrator\AppData\Roaming\Installer\LogmeinClient.msi からインストールされていました。また、10月2日には %user%\Downloads\LogMeIn Client.exe が Windows Defender によってレビューのために提出されていましたが、その後は何も行動が取られていませんでした。
攻撃者の活動:ファイル転送と実行の試み
ScreenConnect のインストールから ScreenConnect のアクティビティイベントへと移行すると、アナリストは10月11日に3つのファイル(r.ps1、s.exe、ss.exe)が ScreenConnect インスタンスを介してエンドポイントに転送されたことを確認しました。このうち、r.ps1 のみがエンドポイントに残っていました。
r.ps1 の内容を深く掘り下げると、攻撃者がエンドポイントへの RDP アクセスに関連する IP アドレス、ドメイン、ユーザー名を特定しようとしていたことが示唆されました。しかし、Windows イベントログには、スクリプトが転送され、攻撃者が実行を試みてから20秒以内に、「File C:\WINDOWS\systemtemp\ScreenConnect\22.10.10924.8404\Files\r.ps1 cannot be loaded because running scripts is disabled on this system.」という PowerShell のエラーメッセージが記録されていました。
残りの2つのファイル、s.exe と ss.exe はエンドポイントには見つかりませんでしたが、Huntress アナリストは Windows 11 エンドポイント上のデータソース、特に AmCache.hve ファイルとプログラム互換性アシスタント(PCA)ログファイルを活用して、これらのファイルのハッシュを取得し、攻撃者がファイルを起動しようとしたものの、いずれも失敗したことを確認できました。
Windows Defenderの無効化とランサムウェアの展開
攻撃者は Windows Defender を無効化しており、その兆候は Windows Defender イベントログに記録されていました。イベント ID 5001 はリアルタイム保護が無効化されたことを示し、続くイベント ID 5007 は SpyNetReporting や SubmitSamplesConsent などの機能が変更(この場合は無効化)されたことを示していました。SecurityCenter のメッセージは、Windows Defender が SECURITY_PRODUCT_STATE_SNOOZED 状態になったことを示していました。
その後、攻撃者は s.exe の起動を試みましたが、PCA ログには「Installer failed」というメッセージがほぼ即座に続きました。VirusTotal の検出結果と挙動から、このファイルはインフォスティーラーである可能性が高いとされています。7秒後、攻撃者は ss.exe の実行を試みましたが、これもすぐに失敗し、正規の Windows アプリケーション c:\windows\syswow64\werfault.exe が起動しました。PCA ログには、ss.exe に関して「PCA resolve is called, resolver name: CrashOnLaunch, result: 0」というメッセージが3回連続して記録され、アプリケーションが実行されなかったことを示していました。
これらのファイルの実行を試みる前に、攻撃者は2025年10月11日01:34:21 UTC に Windows Defender を無効化していました。しかし、2025年10月11日03:34:56 UTC に攻撃者がリモートでエンドポイントにアクセスした後、03:35:13 UTC には複数の Windows Defender 検出がランサムノート作成の試み(Behavior:Win32/GenRansomNote)に対してトリガーされ、修復の試みが失敗したことを示すメッセージが記録されました。この時点で、Windows Defender のステータスは SECURITY_PRODUCT_STATE_ON に報告されていました。この Windows Defender の検出は、先行するリモートログインと相まって、ランサムウェア実行ファイルがネットワーク共有を介して別のエンドポイントから起動されたことを示唆しています。
Qilin ランサムウェアは「Ransomware-as-a-Service」(RaaS)の亜種であり、ランサムウェアのロジスティクスは中央で管理されるものの、各アフィリエイトは異なる攻撃パターンを踏襲し、異なる痕跡やアーティファクトを残す可能性があります。Huntress のアナリストが観測した複数の Qilin インシデントでは、攻撃者がリモートデスクトッププロトコル(RDP)を介してログインするところから始まり、類似のランサムノートと暗号化されたファイル拡張子が含まれていましたが、s5cmd がデータ窃取のために使用されたのは1つのインシデントのみでした。
調査における複数データソースの重要性
この調査全体を通して、Huntress のアナリストはキーホールから覗いていたわけではありません。Huntress エージェントはインシデント後にインストールされたため、EDR テレメトリー、SIEM データ、ランサムウェアカナリアは存在しませんでした。さらに、MAV アラートが Huntress ポータルで受信された時点では、インフラストラクチャ内で Huntress エージェントがインストールされていたのはこのエンドポイントのみでした。
アナリストは文字通りピンホールから覗いていたのです。しかし、複数のデータソースに頼ることで、攻撃者がエンドポイントで試みた活動を深く理解できただけでなく、発見を検証し、実際に何が起こったのかをより明確に把握することができました。例えば、攻撃者が不正な ScreenConnect インスタンスを使用して複数の悪意のあるファイル(インフォスティーラーと見られるものを含む)を導入しようとしたことを理解することは、被害企業がインシデントの範囲と対応方法を決定する上で役立ちます。
調査中、特に時間的制約がある場合や緊急性が高いと仮定される場合、アーティファクトを見つけてすぐにそれに基づいてストーリーを構築してしまいがちです。「これは異常だ」と簡単に考えてしまいがちですが、それがインフラストラクチャ自体の中で本当に異常であるかどうかを考慮しないことがあります。特に、ピンホールから覗くような調査を行っている場合は顕著です。活動を複数のデータソース間で検証し、最初の指標を悪意のある活動の根拠として安易に飛びつかないことが、攻撃者の活動をより正確に把握し、より正確な意思決定と修復のための基盤を提供します。