こんにちは。

本記事では、ネクストリード独自の検知ロジック（カスタムアラート）で検知される「Blacklist IP Activity」について、実際の対応事例をもとに解説します。「Blacklist IP」とは、外部の脅威インテリジェンスや過去のインシデント調査で不審性が高いと評価された IP アドレスのことです。

当社では、こうした IP アドレスを継続的に蓄積・評価し、該当 IP アドレスからのアクティビティを検知した場合にアラートとして検知しています。検知後はアナリストがログを精査し、対応が必要と判断した事象のみをお客様へ報告します。

今回は、実際にお客様へ通知した事例を取り上げ、どのような観点で不審性を判断したのかをご紹介します。

 

■ 3つのポイント

今回の事例では、単一のログだけで結論を出さず、複数の情報を突き合わせて総合的に評価しました。主なポイントは以下の 3 つです。

① アクセス元 IP の利用実績と外部評価を確認した

対象 IP（172.xxx.xxx.xxx）について、該当ユーザーおよび同一組織内の他ユーザーで過去利用があるかを確認しました。また VPN（TunnelBear VPN）利用による見かけ上の接続元変化の可能性も想定して調査しました。

 

② アクティビティ内容が通常操作と整合するかを確認した

OfficeActivity ログを詳細に確認したところ、User-Agent として「Client=OutlookService; Outlook-iOS/2.0」が記録されており、Outlook（iOS）アプリによるアクセスの可能性がありました。該当ユーザーは実際に普段から iOS の Outlook を使用していたため、この観点からは明らかに問題があるアクティビティかどうかは判断できませんでした。

 

③ セッションとサインインログの整合性を確認した

セッション ID を起点に Entra ID のサインイン ログを確認すると、注目すべき不一致が見つかりました。該当セッションに紐づくサインインは、ブラックリスト IP（172.xxx.xxx.xxx）とは異なる IP アドレス（119.xxx.xxx.xxx）で行われていました。この IP も該当ユーザーでは過去利用実績が確認されません。

 

上記の結果より、即座に「侵害」と断定できる状況ではありませんでした。一方で、ブラックリストとして扱われる IP かつ組織内利用実績がない IP からのアクティビティであったため、問題があるかないかの微妙なラインにある事象として、予防的に注意喚起すべきケースと判断しました。

 

■ 何がおこったか

お客様環境において、脅威インテリジェンスおよび過去の調査結果から不審性が高いと評価していた IP アドレス（172.xxx.xxx.xxx）からのアクセスを、NR アラート（独自検知ロジック）で検知しました。

初期段階での検討として、VPN（TunnelBear VPN）利用による接続元変化に伴う過検知の可能性も想定していました。この時点では、「ユーザーが VPN を使用しており、その結果として見慣れない IP からのアクセスが発生した」という正当な説明が出来る可能性があったためです。

しかし、前述の 3 つの観点での分析を実施した結果、完全に問題がないと切り捨てることも、直ちに侵害と断定することも難しい微妙な状態でした。そこで本件は、念のためお客様へ通知し、事実確認を優先する方針としました。

 

◇お客様への確認と対応

通知を受けたお客様は、該当ユーザーの行動をヒアリングしました。その結果、検知時刻においてユーザーはメール操作を行っておらず、VPN 等の外部接続ツールも利用していなかったことが判明しました。この確認により、記録されたメールアクセスは、ユーザー本人ではなく第三者による操作である可能性を否定できないという結論に至りました。

お客様側でも侵害可能性を考慮した対応が必要と判断され、直ちにパスワード変更を実施いただきました。

 

◇結果

メール本文へのアクセスを示すイベントが実際に記録されていたため、情報が盗まれた可能性は残ります。しかし、グレーな段階で通知し、早期に事実確認へつなげたことで、攻撃者による追加のメールアクセスやアカウント乗っ取りの継続を防止することができました。結果として、重大インシデントへの発展を防止できた事例であると考えています。

 

■ NRAS でできること

今回の事例では、Microsoft 標準検知だけでは捕捉されなかった不審アクセスを、NRAS の独自ロジックで早期に検知しました。

このような挙動は、発見が遅れるとアカウント侵害にとどまらず、内部展開や情報漏えいといった二次被害へつながるおそれがあります。特に、Outlook を通じたメール情報へのアクセスが成立してしまうと、組織全体の機密情報やビジネス上の重要な情報が流出する可能性があります。

NRAS では、脅威インテリジェンスに基づくブラックリスト検知と、アナリストによる多角的な調査を組み合わせることで、以下を実現しています。

• 一見すると判断が難しいアクセスであっても、複数の観点から分析することで攻撃の兆候を正確に捉える
• 初期段階で過検知の可能性も考慮しつつ、グレーな事象を見逃さずに通知して事実確認につなげる
• 検知から通知までの時間を最小化し、お客様の迅速な対応を支援する

：

一見すると「通常の操作かもしれない」「VPN による接続元変化かもしれない」と判断が難しいアクセスであっても、以下の複数観点を突き合わせることで、攻撃の兆候を正確に捉えることが可能です。

• IP アドレスの脅威インテリジェンス評価と過去利用実績
• ユーザーの普段の利用パターンとの乖離
• セッション開設時の IP とアクティビティ実行時の IP の整合性
• アクティビティの内容（同期 vs. メール本文閲覧）の詳細分析

セキュリティ監視体制の強化と、より高度なアカウント保護をご検討の際は、ぜひ NRAS の導入をご検討ください。

 

【サービス詳細】
NR Automate Security（ NRAS）
https://nextread.co.jp/service-nras/

 

【関連記事】
「すごいぞ NRAS！対応事例のご紹介」シリーズ

・偽 Claude Code をインストールしてしまったデバイスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security01/

・メールを起点とした Infostealer を EDR で検知・隔離した事例
https://nextread.co.jp/column-casestudy/nr-automate-security02/

・不審な User-Agent を用いたアクセスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security03/