本文の内容は、2022年8月10日にDaniella Pontesが投稿したブログ(https://sysdig.com/blog/detect-cryptojacking-with-sysdig/)を元に日本語に翻訳・再構成した内容となっております。
クリプトジャッキングでリソースが枯渇し、組織が財政的・評判的なダメージリスクにさらされていませんか?
マルウェア検知 機械学習 Sysdig
誰かのコンピューティングリソースを不正に使用して暗号通貨を採掘するクリプトジャッキングの増加は、憂慮すべきレベルに達しています。Google Threat Horizonレポートによると、2021年に侵害されたクラウドインスタンスの86%がクリプトマイニングに使用されたとのことです。これはかなりはっきりとした状況を描き出しています。ですから、冒頭の質問に戻ると、その可能性を考慮することが賢明です。
クラウド環境は魅力的なターゲット
クラウド環境は、クリプトジャッキングにとって特に魅力的です。クラウド環境は、オンデマンドで自動拡張可能なリソースを提供するため、計算を大量に消費する侵入者にとっては特に魅力的です。クラウドのセキュリティ設定、Kubernetesクラスター、コンテナ内部で何が起こっているのか、可視性と制御性がないため、組織がクラウドで効果的なセキュリティを実装するのに苦労する一方で、TeamTNT、WatchDog、Kinsingなどの脅威グループが、このチャンスの窓をフル活用してきました。彼らは、クラウドの脆弱なセキュリティ管理、コンテナワークロードの脆弱性、KubernetesやDockerの攻撃ベクトルを悪用し、クラウドのリソースを貪ってきました。今日のサイバー脅威の活動において、クリプトジャッカーは広く存在しているにもかかわらず、簡単には検知されません。クリプトマイナーには何千ものバリエーションがあり、ステルスモードで動作しています。多くの企業は、この種の寄生虫が本当に危険であることに気づかずに生活しています。ランサムウェアのような他のタイプの攻撃に比べて危険度は低いと考えられていますが、クリプトジャッカーがもたらすリスクは、予期せぬ6桁の請求書にとどまるものではありません。
高額な請求がすべてではない
クリプトジャッカーは、サイバー脅威の全体像への入り口を提供することができます。CPUやGPUのリソースを乗っ取る一方で、ランサムウェアなどの他のマルウェアのダウンロードやインストールを容易にする検出メカニズムを無効化することによっても動作します。より巧妙なものは、認証情報やSSHキーを探し、ワームのように他のシステムに拡散し、バックドアやC2サイトへの接続を確立するなどの悪質な活動を行います。今日の攻撃は多目的に利用されるようになったため、コストやアプリケーション・パフォーマンスに対する不満が最初に急増するのを待ってから環境内のクリプトマイナーを探すのでは、あなたが思っている以上に遅いのです。時間が重要です。機械学習により、99%の精度でクリプトマイナーを早期発見
クリプトマイナーは回避の達人であり、それが彼らのトレードマークです。しかし、クリプトマイナーである以上、コインの採掘に必要な特定の操作を行わなければならないため、行動学的な観点から彼らを認識することができます。クリプトマイナーの行動特性を分析することで、クラウドリソースの使用を制限し、消費レーダーに引っかからないようにするクリプトマイナーの新しいバリエーションも検出することが可能です。この種の検知には、複数のデータソースと複雑な条件の組み合わせを分析して一致する挙動を見つけることが必要ですが、機械学習は最適なアプローチを提供します。しかし、すべての機械学習ベースの脅威検知は、クリプトマイナーの検知に有効なのでしょうか。短くて正直な答えは「ノー」です。
機械学習に関しては、誤解を招く情報が多くあります。Anna Belakは、その記事「The Beautiful Lies of Machine Learning in Security」で、機械学習がいかにセキュリティ・ソリューションとして誤って伝えられてきたかを非常にうまく説明しています。しかし、Annaは、機械学習が焦点を合わせて適用された場合にもたらされる利点も示しています。
Sysdigが機械学習を用いてクリプトジャッキングを検出する方法
クリプトマイナーを検出するためのSysdigの機械学習ソリューションは、サイバーセキュリティに対する他のアプローチとは一線を画しています。これまで、機械学習は潜在的な脅威の指標となる異常を検出するために使われてきました。しかし、特定のターゲットとなるユースケースがないため、誤検出の可能性が大きく、また、クリプトマイナーなどのより高度なステルス型脅威を見逃してしまう可能性があります。Sysdigのソリューションは、実行中のコンテナ内のプロセスアクティビティからクリプトマイナーの構造を認識するように訓練されたMLモデルに基づいています。Sysdigは、実行時にコンテナを深く可視化し、クリプトマイナーの挙動を特定できるようにするために必要な型データを収集します。
Sysdigがどのように行っているかについては、Sysdigのシニア機械学習エンジニアであるFlavio Muttiによる機械学習アプローチを説明しているブログ「クリプトマイナーの検出:機械学習によるアプローチ」をご覧ください。
Sysdig Secureでクリプトマイナーの検出を有効にするのは非常に簡単です:
- Sysdig Secureのプラットフォームで、ランタイムポリシーに移動します。
- Machine Learning Policy を選択します。
- クリプトマイナー検出を有効にします。
ポリシーを有効にすると、Sysdig機械学習パイプラインが実行中のコンテナでクリプトマイナーの検出を開始します。
Sysdigの機械学習機能によるマルウェアの検知
Sysdigの機械学習によるクリプトジャック検知の主なメリット
- クリプトマイナーを99%の精度で検出し、クリプトジャッキング行為に効率的に対抗するための合理的なワークフローを実現します。
- クリプトジャッキング攻撃を早期に検知することで、予期せぬコスト、評判の低下、追加のマルウェアにさらされることを防止します。
- ルールベースの検出と機械学習の保護レイヤーを実装することで、クラウドの検出と対応への多層的なアプローチでセキュリティを強化します。
まとめ
Sydigは、クリプトマイナーの検知に特化した機械学習ソリューションの開発というアプローチをとりました。そして、そうすることで、最大99%の精度で効果的な検知メカニズムを提供します。機械学習に特化したソリューションから得られる利益は、クリプトジャッキング攻撃に対する迅速な検知と対応、誤検知の大幅な削減など、多岐にわたりますが、これはすでに要員不足に陥り、アラートの過負荷や疲労に対処するセキュリティチームにとって非常にありがたいことです。しかし、機械学習はSysdigの多層的な検知アプローチにおける一つの防御レイヤーに過ぎません。FalcoをベースとしたSysdigのルールベースのアプローチは、Sysdigの脅威リサーチチームによってキュレートされた、カスタマイズが容易ですぐに使えるポリシーを提供し、カバー率を最大化します。また、プロファイリング、包括的なIOC(indicators of compromise)、ドリフトコントロールなどの他の防御技術により、セキュリティをさらに強化します。