目次
はじめに
フィッシング攻撃は依然として最も多い初動攻撃手法の一つで、ユーザーの操作(リンククリック、添付ファイル実行、認証情報入力)を誘発して侵入の入口を作ります。SOCは「検知」「初動対応」「被害拡大防止」を迅速に実行する必要があります。本稿では攻撃の典型的なフロー、検知できるログの種類、検知ポイント、簡単なプレイブック、そしてサンプルログ/クエリ例を示します。
フィッシング攻撃の典型的な流れ(攻撃ライフサイクル)
- 送信段階:攻撃者が悪意あるメール(スピアフィッシング含む)を送る
- 誘導段階:メール本文でユーザーにリンククリックや添付ファイル開封を促す
- 侵害段階:添付ファイル実行や偽ログイン画面で認証情報を奪取、またはマルウェアをダウンロードさせる
- 横展開/永続化:盗んだ認証情報で別アカウントへアクセス、C2接続確立、内部拡大
- 目的遂行:機密窃取・資金詐取・暗号化(ランサム)など
(MITRE ATT&CK の観点だと初動は Initial Access (T1566):フィッシング)
SOCで検知可能なポイント(ログ・テレメトリ別)
1) メールゲートウェイ(MTA / Secure Email Gateway)
- 受信時のスコア/検知(アンチウィルス、サンドボックス判定、既知ハッシュ一致)
- SPF / DKIM / DMARC の失敗(送信ドメインの正当性失敗)
- 送信元IPや送信ドメインの急増(同一ドメインから大量送信)
- 添付ファイルの種類(マクロ入りOffice、.exeやスクリプト圧縮ファイル)
検知ルール例:SPF/DKIMがFailで、添付がマクロ有り、かつ件名に「請求書」などの金融語が含まれる → 高リスク
2) Webプロキシ / URLフィルタ / DNSログ
- ユーザーが不審なドメインへアクセス(URLカテゴリが「Phishing」または未分類)
- 短命のドメイン(登録直後)や国外のドメインへの突発アクセス
- DNSで最近登録されたドメイン(TTL低い・WHOIS登録日が新しい)
検知ルール例:社内ユーザーが “login.example-secure[.]com” のようなログイン誘導ドメインへアクセス
3) EDR(Endpoint)ログ
- 添付ファイル実行(Officeマクロ起動、PowerShell実行、mshta、wscriptなどの子プロセス生成)
- 不審なプロセスのネットワーク接続(C2候補IP)
- 新規ユーザーの資格情報変更やパスワードリセット要求(自動化された偽サイト利用の痕跡)
検知ルール例:Outlookが添付マクロを開いた直後に PowerShell が Base64 実行 → 高リスク
4) 認証ログ(IDプロバイダ / AD / Azure AD)
- 同一ユーザーのImpossible Travel(短時間で別地域からの成功ログイン)
- 連続した失敗ログイン(Credential stuffing / brute force の兆候)
- 新規アプリの同意(OAuthアプリの不審な権限取得)
典型的な検知シナリオと優先度判断
- 高優先度:添付ファイルハッシュが既知のマルウェアと一致、またはEDRで悪性プロセス検知→即隔離・調査
- 中優先度:未分類ドメインアクセス+新規登録ドメイン→横展開調査、ブロック検討
- 低優先度:SPF/DKIM失敗のみ→ユーザー注意喚起と監視継続
初動プレイブック(簡易:フィッシング検知時)
- トリアージ(Tier1)
- メールヘッダ(From, Return-Path)、SPF/DKIM/DMARCの結果を確認
- 添付ファイルのハッシュを確認(既知マルウェアと比較)
- 影響者(受信者)の範囲を調べる(配信ログ)
- もし添付を開いているユーザーがいるかEDRで確認
- 封じ込め(Tier1〜2)
- 添付ファイルが配信済であればメールゲートウェイで隔離・削除(可能なら即時)
- URLが配布されているなら、プロキシ/Firewallでドメイン/IPをブロック
- 開封端末があればEDRで一時隔離・プロセスメモリ取得(必要に応じて)
- 調査(Tier2)
- 添付ファイルをサンドボックスで解析(動作ログ、ネットワーク接続先)
- SIEMでIOC(ハッシュ, ドメイン, 送信元IP)を横断検索して他端末の感染有無を確認
- 認証ログで不正ログインが発生していないかを確認(Impossible Travel等)
- 報告・是正(Tier2〜3)
- 影響範囲と初動対応内容をまとめて関係者に共有(テクニカルと経営向けの2段階)
- 再発防止策(SPF/DKIM整備、メールゲートウェイルール追加、ユーザー教育)を提案
- IOCを検知ルールに追加、SOARで自動化フローを整備
サンプルログ(理解のための抜粋例)
A. メールゲートウェイログ(例)
time=2025-09-12T09:05:23Z host=mailgw1 action=delivered srv=SMTP
from=invoice@pay-secure[.]com to=y.kimura@company.co.jp subject="Invoice 2025/09"
spf=fail dkim=none dmarc=fail attachment=invoice_20250912.xlsm sha256=abcd1234...
解説:SPF/DKIM/DMARC が失敗、添付はマクロ付きExcel(.xlsm)、既知悪性ハッシュと一致 → 高リスク
B. Webプロキシログ(不審URLアクセス)
time=2025-09-12T09:06:10Z user=y.kimura src_ip=10.10.1.55 dst_domain=login-payments-verify[.]xyz url=http://login-payments-verify.xyz/verify
cat=Unknown ttl=300 whois_regdate=2025-09-01
解説:新規登録ドメイン、カテゴリ不明、短命ドメインの疑い
C. EDR(プロセス起動)ログ(添付開封後)
time=2025-09-12T09:07:45Z host=PC-UKIMURA process=Excel.exe child_process=PowerShell.exe args="-EncodedCommand ... base64..."
network_conn=203.0.113.10:443 outbound
解説:ExcelからPowerShellでBase64実行→遠隔C2接続の可能性が高い
D. 認証ログ(Impossible Travel)
2025-09-10T02:30:10Z user=j.sato src_ip=198.51.100.23 location=Tokyo auth=success
2025-09-10T02:35:22Z user=j.sato src_ip=203.0.113.45 location=Moscow auth=success
解説:短時間に地理的に離れた成功ログイン → Impossible Travel の典型
SIEMでの簡単クエリ例(概念)
※ 実際の構文はSIEM製品に依存(KQL / SPL / Rapid7 表現など)
- 新規ドメインアクセスの検出(プロキシ)
index=proxy | where domain_regdate > now()-7d | where user in (internal_users)
- メール添付が既知悪性ハッシュと一致
index=mailgw attachment_hash in (threat_intel_hash_list)
- Excel→PowerShell のプロセスチェーン
index=edr process_name=PowerShell.exe AND parent_process=Excel.exe
ユーザー教育と組織対策(再発防止)
- フィッシング演習(模擬メール送付と結果分析)を定期実施
- SPF/DKIM/DMARC の整備と送信ドメインのハードニング
- マクロ実行のデフォルト無効化、アプリケーション制御(ホワイトリスト)
- MFA(多要素認証)の必須化(認証情報盗難対策)
- SOARでの自動隔離フロー整備(検知→隔離→通知)
まとめ(面接・ブログで伝えるポイント)
- フィッシングは**「人」を狙う攻撃**であり、検知はログだけでなくユーザー教育やガバナンスとも連動する必要がある。
- SOCはメールゲートウェイ、プロキシ、EDR、認証ログを横断して相関検知し、プレイブックに基づいて迅速に封じ込める。
- 面接で話すなら、(1)サンプルログを示して説明、(2)あなたがやった具体的な初動(隔離・ユーザー連絡・IOC横展開)を語ると説得力が高い。
コメント