ネクストリード株式会社

コラム

【すごいぞNRAS!】「LINEを入れただけ」のはずが?意図せず始まった常駐プログラムの動き

NRAS
クラウドセキュリティ

こんにちは。日々のセキュリティ運用では、ユーザーの操作そのものよりも、その裏側で端末に何が起きていたかを正確に把握することが重要です。

先日、海外拠点ユーザーの端末で、Microsoft Defender for Endpoint のアラート「Masqueraded task or service」が検知されました。調査の結果、ユーザー操作は「LINE インストーラの実行」でしたが、その後に追加コンポーネントの展開、スケジュールタスク作成、サービス常駐化が連鎖していたことが確認されました。

本記事では、どのような点がリスクだったのか、そして弊社としてどのように評価・対応したのかを事例としてご紹介します。

 

■ 3つのポイント

① 正規に見えるインストーラでもリスクがある

本事例では、見た目は通常のアプリ導入に見える実行ファイルから処理が開始されました。しかし実際には、ユーザーが明示的に意図していない追加コンポーネントの実行が確認されています。

ファイル名やアイコンが正規に見えても、内部処理まで安全とは限りません。見た目の正当性と実行時の挙動は分けて評価する必要があります。

 

② 持続化の兆候を捉える

Microsoft Defender for Endpoint のこのアラートは、正規を装った名称や不自然な登録方法を伴うタスク・サービスの作成を検知対象に含みます。

今回は「EPPHealthCheck_Logon」というスケジュールタスクが作成され、ログオン時に処理が継続できる構成になっていました。こうした持続化の挙動は、侵害の有無を判断する前段階でも、優先的に確認すべきポイントです。

 

③ PUP/PUA の観点でリスクを評価する

調査では ReasonLabs 関連コンポーネントと複数サービスの追加が確認されました。これらは状況によっては正規ソフトウェアとして扱われる可能性がある一方、ユーザーの意図しない導入や設定変更を伴う場合、組織ポリシー上は PUP/PUA(望ましくない可能性のあるアプリ)として対応が必要になることがあります。

重要なのは名称だけで判断せず、実行経路、追加された設定、端末防御機能への影響を合わせて評価することです。

 

■ 何がおこったか

発端は、ユーザーがブラウザ(chrome.exe)から外部サイト経由でインストーラを取得し、実行した操作でした。直後に一時ファイル生成と追加実行ファイルの起動が連鎖し、インストーラ単体では説明しづらい処理の継続が確認されました。

その後、別実行ファイルの生成と起動が確認され、同じ流れの中でスケジュールタスク「EPPHealthCheck_Logon」が作成されました。この一連の挙動が「Masqueraded task or service」として検知されています。

さらに、ReasonLabs 関連のサービス(例: rsEngineSvc、rsClientSvc、rsEDRSvc)の追加、VPN 関連機能の導入、.NET アセンブリのメモリロードなどが観測されました。これにより、端末上で常駐型の動作基盤が形成された可能性があると判断しました。

加えて、調査時点では Microsoft Defender の一部機能に影響が出ていた可能性があり、セキュリティ製品間の競合または設定変更の観点で注意が必要な状態でした。

この段階で弊社アナリストから企業の IT セキュリティ担当者へ通知し、必要な確認項目と対応方針を案内しました。対象ユーザーが海外拠点であったため、Teams 上で英語による説明を行い、認識齟齬が生じないよう事実ベースでコミュニケーションを実施しました。

結果として、不要コンポーネントの整理、端末状態の再確認、Microsoft Defender のフルスキャンを実施し、最終的に脅威の残存が確認されない状態まで収束しました。

 

■ NRAS でできること

NRAS では、今回のような「ユーザーの通常操作を起点にした不審挙動」について、単一アラートだけでなく前後のプロセスを時系列で追跡し、全体像を整理して評価しています。

具体的には、以下のような観点で対応を支援しています。

  • プロセスツリー、生成ファイル、登録タスク、サービス変更の相関確認
  • PUP/PUA の可能性を含むソフトウェア挙動の実害ベース評価
  • 端末防御機能への影響確認と復旧手順の提示
  • 海外拠点を含む関係者への説明支援(英語コミュニケーション含む)

 

本事例のポイントは、「悪意のない操作でも、実行経路次第で端末状態が大きく変わる」という点です。

検知された挙動が直ちに重大インシデントと断定できない場合でも、持続化や防御機能への影響が見える時点で、早期に事実確認と是正対応へ進めることが重要です。NRAS は、こうしたグレーな段階の事象を見逃さず、過不足のない初動対応につなげる運用を支援します。

セキュリティ監視体制の強化をご検討の際は、ぜひ NRAS の導入をご検討ください。

 

【サービス詳細】
NR Automate Security( NRAS)
https://nextread.co.jp/service-nras/

 

【関連記事】
「すごいぞ NRAS!対応事例のご紹介」シリーズ

・不審な User-Agent を用いたアクセスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security03/

・ブラックリスト IP を起点とした不審アクセスへの対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security04/

 

SHARE

BACK POST