脅威ハンティングとは

脅威ハンティングは、サイバーセキュリティを強化するための施策の1つです。事前対応型の手法とインテリジェントなテクノロジーを活用して、組織のシステム内で行われている不正な活動を検知してその影響を低減します。脅威ハンティングでは、攻撃者がすでに組織のコアのシステムを侵害していると仮定して行動します。

攻撃者は既存のツールやテクノロジーでの検知を回避する方法をすでに見つけており、脅威を根絶するにはアクティブなアプローチが必要であるとの考え方が、この仮定を支える重要な要素になっています。この点が、旧来の監視機能に頼ったこれまでの脅威検知の手法やツールで行う脅威ハンティングとは異なります。ただし、これらの検知手法やツールも効果的に使用すれば脅威ハンティングのプロセスで役立ちます。

■脅威とは
脅威とは、データ、個人、システム、資産を侵害して混乱に陥れる状況や悪意のある行動を意味します。脅威を構成する一般的な要素としては、マルウェアやデータ侵害、ランサムウェア攻撃、アカウントの乗っ取りなどが挙げられます。脅威を生み出す攻撃者はさまざまなグループから構成されます。国家主導の攻撃者グループ、テロリストグループ、サイバー犯罪者、組織に不満を抱く内部の関係者などはすべてが脅威をもたらす要素となり得ます。

■脅威ハンティングの進化
脅威ハンティングが始まって間もないころ、事前対応型の検知を支える土台となっていたのが、侵害の痕跡(IOC)でした。IOCは、攻撃やシステム侵害が発生したことを証明する証拠を意味します。脅威ハンターは通常、IOCを特定するために、マルウェアに感染したファイルや、外部への不自然なデータの発信をはじめとする異常な挙動を探していました。既存の脅威を特定する場合、IOCを活用する手法はきわめて有用ですが、1つの欠点があります。この手法では、これまでに確認された脅威しか検知できません。巧妙さを増した未知の攻撃には、既知の痕跡が存在しないケースがあります。

IOCに全面的に依存する手法の限界を克服するには、仮説に基づくモデルを活用し、システムへの侵入前に潜在的な脅威を特定する必要がありました。この手法では、将来の攻撃ベクターの予測に効果を発揮する脆弱性の特定にこれまで以上に専念しています。

脆弱性やこれまでに発生したシステム侵害とは別に脅威ハンターが注目している要素に、「TTP(戦術、技術、手順)」があります。これらの3つが組み合わさり、システムを侵害する際の攻撃の手法や攻撃者の行動が構成されます。

脅威ハンティングとインシデント対応の違い

インシデント対応という手法は本来、事後対応型の手法です。通常では、侵入検知のシステムや侵入検知のプロセスがアラートを生成し、それを受けて運用担当者のグループが対応に当たり、脅威を無力化し、ダメージの影響を低減できるまで措置を行います。一方、脅威ハンティングは仮説に基づく事前対応型の取り組みで、ネットワークや組織内の重要なシステムにすでに侵入しているおそれのある脅威を特定し、脅威を排除します。

ただし、脅威ハンティングは検知だけに重点を置いているわけではありません。仮説に基づくアプローチで防御にも対応しています。自身の組織におけるセキュリティの現状を把握し、攻撃の標的になる環境のセキュリティを強化するために、脅威ハンティングは最も効果を発揮します。

高性能のインシデント対応機能では、インシデントをすばやく特定することや、問題のトリアージと解決の能力を重視しています。一方、はリスクを軽減し、将来の脅威に備えてインシデント対応の仕組みを強化できます。

脅威ハンティングとペネトレーションテストの主な違い

ペネトレーションテストでは、積極的に組織の防御を突破する攻撃を行い、どのシステムに攻撃者がアクセスする可能性が高いか、攻撃者はどの程度深くまで環境内に侵入しうるのかを判断します。基本的には、外部から侵入を試みます。

脅威ハンティングは内部から外部のアプローチです。侵入を防ぐ最大限の対策を行っているにもかかわらず、攻撃者は環境内に入り込んでいると仮定します。環境内で何が起こっているのか、特に不審な振舞いに注目して状況を見極めます。これにより、攻撃を検知できるようになります。

■ハンティングで得られた情報の中に、組織のセキュリティ品質の向上に役立つデータはあるか
ハンティングで得られた情報の中に、組織のセキュリティ品質の向上に役立つデータはあります。セキュリティチームは、ハンティングで得られた脅威情報により、脅威を検知できなかった理由を特定したり、今後同様の攻撃を受けた場合に脅威を検知する方法を見つけることができます。熟練のハンターが理解しているように、より強固で効果の高い防御メカニズムの構築に利用できる脅威データを収集することが、脅威ハンティングでは重要になっています。

■ハンティングを行っても環境内に何も見つからなかった場合、時間や費用が無駄にならないか
ハンティングを行っても環境内に何も見つからなかった場合でも、時間や費用が無駄になることはまったくありません。ハンティングの主要な目的は、環境内に侵入した脅威を見つけ出すことにありますが、ハンティングを行えば、これまで以上に詳しく、環境内の状況を把握できるようになるほか、潜在的なセキュリティの問題を特定することも可能になります。

たとえば、ある金融サービスの企業でハンティングを実施したところ、環境内に脅威は発見されませんでしたが、多くの従業員がFTPを利用していることが判明し、毎日、約100GBのデータが社外に発信されていることも明らかになりました。

さらに調査進めた結果、FTPの利用に不審な点は確認されませんでしたが、CISOが懸念を示し、FTPの利用は禁止となりました。この結果、ftp .exeを悪用する攻撃者にデータを窃取されるリスクが解消されたのです。もしも、ハンティングを行わなかったら、CISOは間違った想定のままでシステムの運用を続け、組織を危険にさらすことになったでしょう。

脅威ハンターは具体的にどのような作業を行っているのか

ハンターの知識は、IT環境やマルウェアの攻撃ベクター、攻撃者についてなど、膨大です。ハンターは環境内で探すべきTTP(手法、技術、手順)の情報を熟知しています。

攻撃者がどのような情報を求めているのか、全体として何を狙っているのか、どのシステムが侵害を受けたのかなど、攻撃に関する情報を収集することに、ハンターは注力しています。インシデント対応や復旧作業に脅威ハンターが携わることはありません。ただし、インシデント対応チームを支援することはあります。脅威ハンティングに携わる人たちは、過去に政府関係機関での勤務を経験していることが多く、軍事機関や略字3文字の連邦機関で働いた経歴を持っています。

また脅威ハンターは、様々なテレメトリデータを継続的かつプロアクティブに分析し、個々の調査で新たな側面を明らかにすることを通じて、無害な「ノイズ」を実際の攻撃から分離します。企業や組織は、このような作業を通じて、新たに発見された手法やパターンを自らのソリューションに統合することで、検知能力を強化できます。

脅威ハンターは、テレメトリデータやログを解析することで、次のことを行います。

  • エンドポイント上で、プロセスのアクティビティや接続などに関して悪意ある振る舞い(または振る舞いの痕跡(IOB))がないかどうか調べます。
  • 既知の脅威から得られた「侵害の痕跡(IOC)」に依存するのではなく、IOBを活用して未知の脅威を特定します。
  • 戦術、手法、手順(TTP)を戦術的なハンティングクエリに変換することで、攻撃をその初期段階で表面化させます。

脅威ハンティングのツールと手法

脅威ハンティングを始める場合に注目すべき重要な3つのステップがあります。脅威ハンティングでは、仮説の設定、仮説の実行、徹底した仮説の検証という3つのステップで結論を導き出します。科学的手法ではいずれの場合も、仮説は、実行および検証が可能でなければなりません。仮説を立てたアナリストやチーム全体が絶えず妥当性を疑う必要もあります。

前に述べたように、脅威ハンティングで仮説を実行するときには通常、侵害の痕跡(IOC)に照らしたチェックを行います。特権ユーザーの挙動やログインの試行、HTMLの応答、レジストリの変更、ポートへの異常なアクセス、地理的要因や季節性の要因による一般的な変動とは異なるデータの利用パターンの変動などの痕跡を観察、分析すれば、スムーズな仮説の検証が可能になります。

脅威ハンティングでは、最新の情報が貴重な資産の1つになります。サイバーセキュリティの業界には、ブログ記事や脅威レポート、ホワイトペーパーなどが数多く存在し、最新の情報を求めている脅威ハンターにとって、これらはどれもきわめて価値の高い情報源になっています。具体的には、業界で確認されている攻撃やマルウェア、対処法の形態を常に把握していれば、より完全な仮説を立てるうえで、また、侵入検知/侵入対応システムを回避できる脅威を特定する際に大いに役立ちます。

外部のナレッジベースの利用と同じくらい重要になるのが、過去に受けた侵害に関する内部のナレッジの維持です。脆弱性を突いた攻撃では、通常、何らかの足跡が残ります。高性能のEndpoint Detection and Response(EDR)ツールを活用すれば、攻撃の内容を包括的に把握することが可能になり、今後の脅威ハンティングの内容を大幅に強化できます。

サイバーリーズンが提供する製品

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「振る舞いベースのドキュメント保護」「エクスプロイト保護」「亜種実行防止」「振る舞いベースのファイル実行防止」「アンチランサムウェア」という8層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。また国内シェアNo.1のEDRをベースにして、IT環境全体のログを解析し、サイバー攻撃の全体像を可視化し、攻撃を阻止するCybereason XDRモバイルセキュリティ製品のCybereason MTDも提供しています。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

サプライチェーン攻撃対策ガイド ~インシデントに備えて対策すべき経営リスクとは~

企業経営者の中にはいまだに「報道される事案は大手企業がほとんどなので、うちのような中堅・中小規模には関係がない」と考えている方も少なくないかもしれません。

しかし実際には、「サプライチェーン攻撃」と呼ばれる攻撃手法の多用によって、中堅・中小規模を敢えて狙った攻撃が近年多発しており、多くの被害が発生しています。

本資料では、中堅・中小企業がインシデントに備えて対策すべき「4つの経営リスク」についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/11005/