Viettel Cyber Securityは、SharePointを標的とした0-Day攻撃の脅威と、従来のEDR(Endpoint Detection and Response)では検知が難しい現状に対し、有効な防御策を解説するウェビナー『EDRを回避するSharePoint 0-Dayの侵入手口』を開催します。
SharePoint 0-Day攻撃の深刻な実態
企業の重要資産が格納されるSharePointは、現在、パッチ公開前の未知の脆弱性を悪用する「0-Day攻撃」の標的となっています。特に日本国内では、パッチ未適用環境が多く存在し、攻撃者にとって成功率の高い侵入経路として悪用されています。攻撃者は認証をバイパスし、WebShellを設置することで、内部の暗号キー窃取や内部ネットワークへの横展開を可能にします。これにより、カード情報、知的財産、Active Directoryの制御が奪われ、企業の業務継続性が危機に瀕する可能性があります。
EDRによる検知が難しい理由
高性能なEDRが導入されているにもかかわらず、0-Day攻撃の検知が困難である主な理由は、攻撃プロセスが「正規通信に近い挙動」を装うためです。攻撃が認証バイパスに成功した時点では、システムはこれを正規のログインと認識します。その後、攻撃者が設置したWebShellや逆シェルを通じて実行されるコマンドも、通常の管理者操作と区別がつきにくいため、EDRは不審な活動として捉えにくい状況が発生します。結果として、LSASSメモリからの情報窃取や外部へのC2(Command and Control)通信の開始まで検知が遅延し、侵害を未然に防ぐことが困難となる場合があります。
SOCによる挙動ベース検知の有効性
この見えにくい脅威に対抗するため、本ウェビナーではSOC(Security Operations Center)による「挙動ベースの検知」が鍵となると説明されます。従来のシグネチャやプロセス監視では捉えきれない攻撃の「兆候」を、SOCが以下の挙動分析を通じて早期に捉え、封じ込める具体的な方法が解説されます。
- 不審なプロセス連鎖の可視化: 一見無害なプロセスの異常な繋がりを検知します。
- 異常な権限昇格の監視: 攻撃者がシステム内で権限を拡大しようとする動きを早期に察知します。
- C2通信の出現: 外部の攻撃者と通信する「C2通信」の発生を、SharePoint固有のログと相関分析することで特定します。
- 攻撃連鎖の全体像把握: 認証バイパスからWebShell設置、鍵情報の窃取、横展開、ランサムウェア展開に至るまでの攻撃連鎖全体を24時間体制で監視し、初期段階での侵害兆候を捉える実運用ポイントが紹介されます。
また、「攻撃者視点の監視」というアプローチにより、パッチ公開前の脆弱性であっても、攻撃者のTTPs(戦術・技術・手順)を先回りして検知し、防御を固める次世代のセキュリティ対策についても深掘りされます。
ウェビナー開催概要
本ウェビナーは、マジセミ株式会社の協力のもと、Viettel Cyber Securityが主催します。企業のセキュリティ担当者やIT管理者、情報セキュリティに関心のあるすべての方にとって、最新の脅威環境を理解し、具体的な対策を学ぶ貴重な機会となります。
| 項目 | 内容 |
|---|---|
| ウェビナー名 | 『EDRを回避するSharePoint 0-Dayの侵入手口』 |
| テーマ | 認証バイパス後の挙動をSOCはどう検知・封じ込めるか |
| 開催日時 | 2025年12月19日(金)15:00-16:00 |
| 主催 | Viettel Cyber Security |
| 協力 | 株式会社オープンソース活用研究所、マジセミ株式会社 |
| 参加費 | 無料 |
参加申し込み方法
参加をご希望の方は、以下のマジセミ ウェビナーページよりお申し込みください。
マジセミ ウェビナーページ
このウェビナーで得られる知識は、貴社のデジタル資産を最新のサイバー脅威から守るための強力な武器となるでしょう。ぜひこの機会をご活用ください。