クラウドネイティブを学ぼう!

脅威ハンティングとは?

SHARE:

サイバーセキュリティ上の脅威に対処する方法は二つあります。一つは、脅威アクターが自社のシステムの脆弱性を悪用し始めるのを待ってから、攻撃を軽減するための措置を講じるという方法です。

もう一つ、より優れたアプローチは脅威ハンティングを実施することです。脅威ハンティングとは、脅威がビジネスに深刻なリスクをもたらす前に、積極的に脅威を探し出すことを意味します。

脅威ハンティングによって全ての脅威を事前に検知できるとは限りません。それでも脅威ハンティングは、サイバーセキュリティリスクに先手を打ち、システムや業務への影響を最小限に抑えるため、包括的なサイバーセキュリティ戦略の基盤となるべきものです。

脅威ハンティングの意義、その仕組み、そして最も効果的な脅威ハンティング手法について、詳しく解説いたします。

脅威ハンティングとは?

脅威ハンティングとは、従来の検知メカニズムを回避した可能性のある脅威を検出・調査するための、積極的なセキュリティ戦略です。手動および自動化された手法を用いて、悪意のある活動を特定し、脅威を明らかにし、悪意のある攻撃者を検出します。これは、従来のセキュリティ防御を回避した可能性のある悪意のある攻撃者や悪意のある活動を特定するため、ネットワークやシステムのデータを検索するプロセスです。

脅威ハンティングと脅威のライフサイクル

脅威ハンティングが実際に何を意味するのかを理解するには、脅威ライフサイクルと呼ばれる概念を考えると有用です。

通常、脅威アクターは一夜にして大規模な侵害を実行することはありません。代わりに、複数のステップを含むプロセス——脅威ライフサイクル——に従います:

  1. システムを偵察し、悪用可能な弱点や脆弱性を見つけること。
  2. 脆弱なシステムへの初期侵入。これにより、IT環境へのバックドアや足場を確保し、脅威アクターがリソースの継続的な調査や活動の拡大を可能にします。
  3. 攻撃のエスカレーション。初期侵入を可能にしたリソースを超えて、他のリソースへの影響を拡大します。
  4. 侵害すべき主要なターゲット(例:機密データ)の特定。
  5. 主要ターゲットに対する大規模な侵害の実行。

多くの場合、企業は脅威ライフサイクルのステップ3以降でなければ脅威を検知できません。IBMによれば、検知までに平均9か月を要するとのことです。これは、脅威アクターによる偵察活動や小規模な初期侵害が、しばしば未検出のまま放置されるためです。

しかしながら、脅威を積極的に探知する取り組みを行うことで、脅威ライフサイクルの可能な限り早い段階で脅威検知の可能性を高めることができます。ひいては、重大な侵害や侵害被害が発生する前に、脅威をより早期に是正することが可能となります。

脅威ハンティングの事例

一般的な脅威ハンティングのシナリオの一例として、攻撃者がポートスキャンソフトウェアを使用して、お客様が運用する公開サーバー上でどのポートが開いているかを確認している状況を想定いたします。ポートスキャナーは、開いているポート上で稼働しているサービスや、各サーバーで実行されているオペレーティングシステムの種類も検出することが可能です。

ポートスキャンは、リソースへの積極的な侵害を伴うものではなく、単に異なるポートやプロトコルを使用してサーバーへの接続を試みる行為に過ぎません。そのため、ポートスキャンはサイバーセキュリティツールから重大なアラートを発動させる可能性が低く、ツールはむしろアクティブな侵害に焦点を当てます。これは、ポートスキャン活動を積極的に検索しない限り、攻撃者がシステムへのアクセスを得るために悪用可能な脆弱性を既に発見した時点まで、その活動を検知できない可能性が高いことを意味します。

しかし脅威ハンティングを実施すれば、ネットワークログを詳細に分析することでポートスキャンを検知できる可能性があります。あるいはカナリヤトークンを活用し、ポートスキャンで特定された情報を悪用した攻撃者の不正活動を検知する方法もあります。多くの場合、ポートスキャンに関連する特定のリクエストやパケット、およびスキャン元のホストを特定することが可能です。この情報を脅威ハンティング技術の一環として活用することで、ポートスキャンとその関連IPアドレスを特定できます。その後、それらのIPアドレスをブロックし、悪意のある活動が実際の侵害につながる前に阻止することが可能です。また、ポートやサービスを監査し、脆弱性を含んでいないことを確認することで、ネットワークの堅牢性をさらに高めることもできます。

脅威ハンティングのメリット

脅威ハンティングの主なメリットには以下のものが含まれます:

  • 侵害や不正アクセスにつながる前に、より多くのリスクを検知する能力。
  • 脅威やリスクに迅速に対応する能力の向上。
  • より少ないリソースでリスクを軽減する能力 – 脅威は通常、脅威アクターが既にIT環境内に大きな存在感を確立している場合と比較して、初期段階にある方が対処が容易であるためです。

要するに、 脅威ハンティングとは、サイバーセキュリティ上の脅威に対して 能動的かつ先手を打った対応 を可能にする取り組みです。受け身で被害が出るのを待つよりも、はるかに有効な手段となります。

脅威ハンティングの仕組み

脅威ハンティングを実践するには、脅威を初期段階で検知できるツールと、システム内に重大な痕跡を残していない脅威さえも可視化する技術の両方が必要です。

脅威ハンティングのプロセスでは通常、特殊なツールと手法を用いて異常な振る舞いや不審な事象を検知・分析します。これには、エンドポイントのログ、ネットワークトラフィック、システム活動などを確認し、不審な動作を調査することが含まれます。さらに、脅威ハンティングでは、悪意のあるコードのリバースエンジニアリング、侵害の兆候(IoC)の特定、複数システムにわたるイベントの相関分析など、偵察やデータ収集活動が行われる場合があります。

脅威が特定されると、ハンターはその脅威の範囲と影響を判断し、是正または軽減するための計画を策定します。

脅威ハンティングの手順

先ほどご説明した脅威ハンティングのプロセスは、いくつかの明確な段階に分解することができます:

What is Threat Hunting?
  1. 基準値の設定:ネットワークトラフィックやユーザー活動に関するデータを収集・分析し、ネットワークおよびシステムの正常な活動基準値を設定します。
  2. 不審な活動の特定:ログの監視やデータの検証を通じて不審な活動を特定し、得られたデータに基づき潜在的な脅威が存在する可能性のある箇所について仮説を立てます。脅威ハンティングにおいては、攻撃の初期段階を示す可能性のある微妙な変化を探すことがしばしば必要です。例えば、これまで未知のホストからの接続試行や、非標準ポートへの接続要求(脅威アクターが侵害可能な脆弱なサービスを探そうとする試みを反映している可能性があります)などが挙げられます。
  3. 脅威の調査:潜在的な脅威を特定した後、さらなる情報を収集しデータを分析することで、悪意のある活動の範囲と性質を理解するために調査を継続します。例えば、不審なホストからのリクエストを検知した場合、それらのホストの活動を継続的に監視し、実際に悪意のあるものかどうかを評価します。
  4. 対策の実施:脅威の存在を確信したら、悪意のある活動をブロックしたり、脆弱なシステムにパッチを適用したりするなどの対策を実施します。
  5. 監視:ネットワークやシステムを監視し、さらなる悪意のある活動や脆弱性がないかを確認します。これは、前のステップで実施した修復措置が脅威を完全にブロックできたことを確認するために重要です。

理想的には、これらの手順を継続的に実施し、最終ステップが第二ステップにフィードバックされるループを形成すべきです。つまり、監視から得られた知見が新たな不審な活動の特定を促し、それが調査、修復、さらなる監視を呼び起こす仕組みです。脅威は常に活動し、絶えず進化しているため、継続的な脅威ハンティングは攻撃者に一歩先んじるために不可欠です。

脅威ハンティングの手法とモデル

脅威ハンティングのプロセスはすべて同じ基本ステップに分解できますが、脅威ライフサイクルの初期段階で脅威検知のために活用できる複数の脅威ハンティング手法が存在します。

一般的な脅威ハンティングモデルには以下が含まれます:

  • シグネチャベースモデル:このモデルは既知の悪意ある活動や、事前定義されたシグネチャに一致する活動の特定に焦点を当てます。シグネチャは、マルウェア分析、ネットワークトラフィック分析、脅威インテリジェンスなど、様々なソースから作成されます。
  • 異常ベースモデル:このモデルでは、ベースライン活動と一致しない不審な活動の特定に重点を置きます。機械学習アルゴリズムを用いて、ネットワークトラフィックの急激な増加、異常なユーザーログイン、その他の通常とは異なる活動などの異常を検出することが可能です。
  • 行動ベースモデル:行動ベースの脅威ハンティングモデルでは、悪意のある攻撃者とその行動を理解することに重点を置きます。攻撃者がシステムへのアクセスを取得し、内部で横方向に移動するために使用する技術、戦術、手順を分析します。
  • ヒューリスティックモデル:ヒューリスティックモデルは、侵害の兆候(IoC)を理解し、潜在的に悪意のある行動を特定することに焦点を当てます。ファイル名、レジストリエントリ、ポート接続、その他の指標など、不審な活動を検出するためにヒューリスティック手法を用います。

これらの脅威ハンティングモデルは、いずれか一つに限定する必要はありません。実際、異なるアプローチはそれぞれ異なる種類の脅威の特定に優れているため、複数の脅威ハンティング技術を同時に採用することが賢明です。例えば、シグネチャベースの脅威ハンティングモデルは、脆弱性データベースに記載されている既知の脅威の検知に効果的です。一方、異常ベースのモデルは、公開されている脆弱性に依存せずにシステムへの侵入を試みる攻撃者の活動を反映する可能性のある不審な活動の検知に最適です。

脅威ライブラリとリソース

IT環境から収集・分析するデータは脅威検知の基盤となりますが、脅威ハンティングにおいては追加リソースが重要な指針を提供します。

これには脅威インテリジェンスライブラリが含まれます。これは既知の脅威に関する情報を記録したデータベースです。脅威アクターは異なる組織を標的とする際、類似の手法を用いることが多いため、ある企業で発見された脅威に関する情報は、他企業が同様の脅威を検出する際に有用です。インターネット上ではオープンソースの脅威ハンティングライブラリを入手でき、場合によってはセキュリティベンダーが独自の脅威ハンティングデータへのアクセスを提供しています。

プレイブックも有用な脅威ハンティングリソースです。プレイブックは、異なる種類の脅威への対応方法を定義します。事前に対応計画を確立することで、脅威を可能な限り迅速に軽減する能力を高めることができます。