こんにちは。チェックポイントの野々村です。
前回の振り返り
前回は準備編という事で、ERMの考え方、チェックポイントERMの概要をご紹介の後、実際にCheck Point Software Technologies社のリスクを見るための準備手順をご紹介いたしました。
今回は、その後見えてきたリスクに関して、実際のアラート画面とともにご紹介していきたいと思います。
悪用ができないような形でご紹介するのでご安心を!
全体像
ダッシュボード
前回の設定から約1週間と少し経ちましたが結果は・・・
合計423個のアラートが出ています。Severityが高いもの(Very High)も結構ありそうです。
新規にテナントを立てた場合、少し古い情報(認証情報漏洩等)も拾ってきてアラート化されます。
ではSeverityの高そうなものから順番に見ていきましょう。
マルウェア感染した従業員の端末
従業員の端末がマルウェア感染!と聞くとかなり重大インシデントに見えます。
確認してみると、13件のアラートがありました。
その中でもSeverityが高いものを見てみます。
「Employee Machine Infected by Malware」という件名のアラートになりますが、
チェックポイントのメールアドレスをもつユーザーの端末がLumma Malwareという情報窃取型マルウェア(Info Stealer)に感染したアラートという事がわかります。
Lumma Malwareに関しては調べると様々なベンダーさんの記事が見つかりますが、折角なので、当社の記事リンクを貼っておきます。(英語記事ですみません
)
Lummaを含む情報窃取型マルウェアに盗まれた認証情報、カード情報等はダークウェブマーケットやTelegram等で売買、情報公開されております。
昨今のセキュリティインシデントの多くは今回のように漏洩した認証情報が悪用され、侵入されてしまうケースが増えていると言われています。
 |
| Verizon DBIR (データ漏洩/侵害調査報告書) 2025より |
話を戻しまして、アラートのもう少し細かい情報をみていきます。
アラートを下にスクロールすると、「INTEL ITEMS」という項目があり、このアラートに関連するERMが取得した生のデータを閲覧する事が可能です。
上記にキャプチャのようにログイン先URL、ユーザー名、パスワード等の情報が複数に渡って窃取されている事がわかります。
ログイン先URLに"adfs"と書いてあるだけで一気に緊張感が上がりそうです。
上記のように感染した端末の詳細も記録されます。
今回は情報量少ないですが、Computer名、ユーザー名、ドメイン等も記録されています。
このような情報がインシデント対応を行う上で大事な情報となってきます。
なお、念のため概要ユーザーが当社チェックポイントに存在するのか確認した所、現在は在籍していないようでした。
可能性として
- 昔在籍していた従業員が個人PCで会社のリソースにアクセスしており、その端末が感染した。
- 攻撃者のインフラが感染した。
などが考えられます。
従業員の認証情報漏洩
情報窃取型マルウェアに限らず認証情報の漏洩は様々な場所で発生します。
- フィッシングサイトでの入力
- 外部のサイトが侵害をうけ、漏洩してしまうケース
漏洩した認証情報はダークウェブを徘徊したり、Telegram等で拡散されていきます。
ERMではこのようにインターネットで出回っている漏洩ID・PWを継続的に収集しお客様に関連のあるものに対しアラートを上げる事が可能です。
この「Company Employee Third-Party Credentials Exposed」アラートでは該当する漏洩IDとPW、それが初めて見つかったのか否かも確認が可能です。
また一つ一つの認証情報に対し、どの情報ソースから発見したのかも確認が可能です。
これらのようにアラート化されるものに関しては、
- 社内にアカウントが存在するのか?
- 存在する場合、漏洩しているパスワードの強度は社内リソース向けのポリシー要件を満たしているのか?
- 満たしている場合、パスワードリセットとユーザーへの注意喚起
このような対応が一般的なベストプラクティスです。(ケースバイケースですが)
ASM全体像
続いてASMの全体像を見ていきます。
まずはダッシュボードから
・・・・見ての通り真っ赤です
Posture ScoreがDランクと低スコアになっているのは、アラートを全くクローズしていないための結果となります。
(アラートを放置しているとスコアがだんだん落ちてくる・・・)
Score要因の93%が脆弱性によるものと理解できます。
また資産毎のSeverityもついており、112個の資産が緊急度の高いVery Highになっている事がわかります。
ここで準備編の事を思い出して頂きたいのですが、ASMの対象として登録したのは、会社のメインアドレス「checkpoint[.]com」だけなのに、下のアセットリストには関係のないドメインがあります。
対象資産の「Discovery Info」をみていくと、どうしてこの資産が登録されたのかのパス(理由)を確認していく事が可能です。
このパスをみると、「safesoftware[.]net」ドメインの登録が、会社のメール(checkpoint[.]comドメインのメールアドレス)で登録されているため、Discoveryされたという事がわかります。
実際に対象資産の親ドメインのWhois情報を確認することも出来ます。
このようにWhoisに登録されている情報から関連資産と判断し、ASMの対象範囲に自動で追加されます。
Whois以外にもDNS、IP情報、証明書等の様々な要素で自動的に関連資産を収集出来る事がCheck Point ERMの強みとなっております。
(もちろん、自動で追加するレベルを調整する事も可能)
ではここから、ASMで発報されたアラートを見ていきましょう!
ASMアラート
ASMで発報されるアラートに関しては大きく分類し下記の通りです。
- 脆弱性を持つテクノロジー検出
- 悪用可能なポートの解放検出
- 証明書の有効期限切れ
- 社内向けシステムのWeb公開検出
- メールセキュリティの問題(DMARCやSPFレコードの欠落)
以上のように多岐にわたります。
実際のアラート画面は以下のようになります。
プロキシで有名なsquidですが、バージョンが古く多数の危険な脆弱性が含まれているようです。
ここに出ているCVEをクリックすると、その脆弱性の詳細情報も閲覧可能となります。
各CVE情報にはCVSS等の一般情報以外に、Cyberint独自スコアや直近3ヶ月でDark Webやその他のOpen Webでどれだけ言及されているかの傾向情報も把握可能となります。
squidに限らず同様の脆弱なテクノロジーを検出したアラートはトータル129件ありました。。。
なお、この脆弱性検出はあくまでPassiveなスキャンによって検知したものとなります。
ERMではオプションでActiveなスキャン、AEV(Active Exposure Validation)も提供可能です。
その場合、実際のリクエストヘッダやレスポンス情報もアラートの中で閲覧可能となります。
その他のASMアラートは今回は割愛します。(興味ある方はご一報を!)
DRP発見事項
DRPはお客様を装ったフィッシングサイトの検知やSNSのなりすましアカウントの検知、モバイルアプリの非公式サイトでの流通等検知が出来る機能です。
SNSのなりすましに関してはCheck Pointという一般的な単語から幾つかのなりすまし候補が検知されていましたが、アラート化されるような検知は見られませんでした。
「Social Media Fake Page」というページでなりすまし候補に関しても確認可能です。
日本語のSNSページに関してはどのアカウントも「なりすまし」に該当しそうなものはありませんでした。
このような時はステータスを「Irrelevant」に変更しておくと、追跡対象から外れます。
続いてフィッシングサイト検知ですが、1件のみアラートがありましたのでご紹介します!
URLに「checkpoint」の文字列が含まれている事と、ロゴがそのまま使われている事がトリガーとなっています。
AI Summaryの日本語訳は以下の通りです。
内容:Check Point Software Technologies Ltd.を装ったアクティブなフィッシングサイト( https[:]//checkpoint-vpn[.]com/ )が検出されたため、重大度の高いフィッシングアラートが発動されました。このサイトには、VPNクライアントのダウンロードを提供していることを示すタイトルが含まれており、ロゴやファビコンなど、Check Point Software Technologies Ltd.に関連するアセットが一致しています。主な技術的詳細として、URLマッチングの検出スコアは0.9、類似したロゴやファビコンのハッシュなど、複数の検出要素が挙げられます。
なぜリスクなのか:このフィッシング詐欺は、ブランドの毀損、アカウント乗っ取り、ユーザーデータの漏洩など、重大なリスクをもたらし、機密情報への不正アクセスにつながる可能性があります。このフィッシング攻撃が悪用された場合、個人情報の盗難や犯罪行為を助長する可能性があり、Check Point Software Technologies Ltd.にとって大きなビジネスリスクとなります。
危険そうに見えますが、本当に悪意あるサイトなのか?それともパートナーが善意で作ったものなのか?調査が必要です。
そのようなケースに備え、ERMではアナリストサービスも提供しております。
- ドメインを誰が登録したのか
- 実際のサイトにマルウェアが置かれていないのか?
- テイクダウンした方が良いのか?
このような疑問をアナリストが調査し、アラートに調査結果を反映させてくれます。
結果、テイクダウンをした方が良いとなれば、アラート画面の「Request Takedown」ボタンからテイクダウンをリクエストする事が可能となっています。
テイクダウンにかかる時間は相手のホスティング先によりますが、数時間から数日が目処になります。
成功率の実績は98%との事
最後に
ここまでCheck PointのERMで実際にCheck Point社を見てみた結果をユースケース毎に紹介させて頂きました。
Check Point社でも意外に穴が多い多くのリスクが可視化されましたので、皆様の会社を見ても可視化される事は間違いないと思います。
まだ紹介できていないユースケース(グローバル脅威インテリジェンス、サプライチェーン監視)もありますが、より深い内容に少しでもご興味がございましたら個別にご連絡頂ければと思います。
最後まで読んでいただきありがとうございました!
ハッピークリスマス🎄&良いお年を!