Microsoft Defenderがサイバー攻撃におけるRPCプロトコル悪用の監視機能を追加

MicrosoftはMicrosoft Defender for Endpointに強化された監視機能を導入しました。この機能は、Windowsの中核的な通信メカニズムであるRPC(リモートプロシージャコール)プロトコルを悪用したサイバー攻撃を検出・阻止することを目的としています。RPCは脅威アクターが横移動や認証情報の窃取に頻繁に悪用するプロトコルです。

2026年6月8日に発表されたこのアップデートにより、受信したリモートRPCアクティビティを詳細に可視化できるようになります。これにより、セキュリティチームはRPCの高レベルなインターフェース単位ではなく、特定のRPC関数に紐づく悪意ある操作を特定できるようになりました。

Microsoft DefenderによるRPCプロトコル監視の追加

RPCはWindowsの各環境、特にActive Directoryにおいて広く使用されており、ローカルおよびネットワーク越しのプロセス間通信を可能にしています。

しかし、サービスコントロールマネージャー、リモートレジストリ、タスクスケジューラー、Windows Management Instrumentation(WMI)といった重要なサービスへの深い統合が、攻撃者にとって格好の標的となってきました。

リモートサービス作成による横移動、レジストリアクセスを通じた認証情報のダンプ、DCSyncを利用した認証情報窃取、認証強制攻撃など、多くの攻撃手法がRPCの機能に大きく依存しています。

これに対応するため、MicrosoftはDefenderとWindows Filtering Platform(WFP)との統合を拡張し、RPCコールのOpNumレベルでの検査を可能にしました。OpNum(オペレーション番号)はRPCインターフェース内の特定の関数に対応しており、Defenderがどのアクションが呼び出されているかを正確に識別できるようになります。

この進化により検出の精度が大幅に向上し、セキュリティツールは同一インターフェース内における正常なRPC操作と不審なRPC操作を区別できるようになりました。

Image

SMB3などの暗号化トランスポートプロトコルによって制限を受けたり、パフォーマンスのオーバーヘッドを生じさせたりすることがある従来のネットワークベースの監視アプローチとは異なり、Defenderのテレメトリ収集は監査専用のWFPフィルターを使用してエンドポイント上で直接行われます。

これにより、正当な操作を妨げることなく、デバイスを対象とした受信RPCアクティビティの詳細なインサイトを取得できます。なお、この機能はリモートからの受信RPCコールのみを対象としており、ローカルのプロセス間通信や送信RPCリクエストは対象外となっています。

Microsoftによると、Defenderはリモートレジストリやサービスコントロールマネージャーを含む、悪用されやすいインターフェース全体で選択されたRPC操作を動的に監視します。

この機能はワークステーション向けにすでに一般提供が開始されており、サーバー環境への展開も進行中です。収集されたテレメトリはMicrosoft DefenderのAdvanced Huntingインターフェースに表示され、脅威ハンターがRPCアクティビティをクエリして広範な攻撃パターンと関連付けることができます。

このアップデートでは、複数のRPCベースの攻撃手法に対する組み込みの検出機能と自動的な妨害機能も導入されています。

具体的には、Impacketなどのツールを使ったキーボード操作型攻撃の検出、横移動を示唆する不審なリモートサービスの作成、ローカルセキュリティ機関(LSA)シークレットの抽出試行、異常なアカウントおよびセッションの列挙アクティビティ、そして認証強制攻撃などが対象となっています。

セキュリティチームはAdvanced Huntingのクエリを活用して、特定のRPC悪用シナリオを特定できます。たとえば、BaseRegSaveKeyなどのリモートレジストリ操作を監視することで認証情報ダンプの試みを検出できます。また、RCreateServiceWなどのサービス作成オペコードを追跡することで、不正な横移動を発見することも可能です。

同様に、srvsvcインターフェースを通じたセッション列挙コールを分析することで、ネットワーク上のユーザーセッションを標的とした偵察活動を把握できます。

この強化は、企業のオペレーティングシステムに組み込まれた攻撃者に悪用されやすいネイティブプロトコルをより深く検査するという、業界全体のトレンドを反映しています。

MicrosoftはRPCを関数レベルで可視化することで、攻撃者が悪意ある活動を正当なシステム操作に紛れ込ませることを可能にしてきたエンドポイント検出の長年の課題に対処することを目指しています。

攻撃者が検出を回避するために組み込みの管理ツールやプロトコルを引き続き悪用する中、RPCモニタリングのような機能はエンドポイントのセキュリティ態勢強化において重要な役割を果たすと考えられます。

Microsoft Defenderを使用している組織は、新しいテレメトリストリームを確認し、RPCベースの検出を脅威ハンティングおよびインシデントレスポンスのワークフローに統合することが推奨されます。

翻訳元: https://gbhackers.com/microsoft-defender-adds-monitoring-for-rpc-protocol/

ソース: gbhackers.com