5回にわたり（隔月寄稿）、経営の視点からリスク対策の検討材料として脅威インテリジェンスを活用する方法を解説する ”脅威インテリジェンスが切り拓く未来のリスク管理“ シリーズ。第4回目の今回は「組織内ハンティングによる能動的対策のあり方」をお届けします。

近年、SSL VPNや不正メール対策製品のようなインターネットとイントラネットの境界に設置されているネットワークセキュリティ機器を標的とした攻撃が目立っていると思いませんか？一部のセキュリティ製品ベンダーが、リコールを実施した状況を鑑みますと、これらの製品の脆弱性においての根本的な解決は、ソフトウェアとは異なり簡単にできるものではないようです。興味深いのは、これらの製品のベースとなっているオペレーティングシステム（OS）の多くは、Linuxを利用している点です。老舗のセキュリティ製品ベンダーの場合、これらの製品設計はしばらく変更されていないとすると、これらのセキュリティ製品自身が侵害のきっかけに成りかねません。

セキュリティ製品に設置されるマルウェア

ネットワークセキュリティ製品にもマルウェアは設置されます。ウェブシェルやルートキットをはじめとして、Linux上で起動できるマルウェアは設置が可能です。そのため、インシデント発生時の対応において、ネットワークセキュリティ機器自身の挙動の調査も必要不可欠と言えると思います。これらの脅威において、セキュリティ製品を含めて包括的に監視などが行えるセキュリティソリューション（例えば、ネットワークフォレンジック製品など）の導入により、侵害にいち早く気付けるかもしれません。しかし、現状、運用面、人材面等のコストにおける費用対効果が課題となり、そこまでの対策を実践している組織は殆ど見かけません。

そこで、本稿ではこの気付くことの困難な脅威に対して、組織のIT環境を活かした脅威ハンティングによる能動的セキュリティ対策について考察してみたいと思います。2016年頃から度々耳にすることがあるキーワードですが、端的に表現しますと脅威の”宝（？）探し”です。

「サイバー脅威ハンティング」に関しては、2016年にはSqrrl社（現在、AWS傘下）がホワイトペーパーを公開するなどしていますので、以前から知られたセキュリティ運用の１つです。脅威ハンティングの運用方法も幾つか発表されており、代表的なものとして次のものが挙げられます。

• インテリジェンス主導型：脅威インテリジェンス・レポート、マルウェア分析、脆弱性スキャンなどの活用
• アナリティクス主導型：機械学習とUEBAを活用
• 状況認識主導型：クラウンジュエル分析、企業リスク評価、企業または従業員レベルの傾向による分析

よく知られているのが、インテリジェンス主導型やアナリティクス主導型ではないでしょうか。これらの手法は、日々改良されており、最近ではSplunk社が過去数年間に実施された実際のハントから得られた経験と学びを取り入れてとし、仮説駆動型、ベースライン型、モデル支援型のハントタイプを独自に組み合わせた「PEAK Framework」を発表しています。

このように、日々変化する脅威に対して運用を合わせていくには、結局のところ、自組織でまずは適応可能なモデルで試運転してみる中で、その経験値を活かして独自モデルを生成することが、組織文化と攻撃傾向の双方にあった運用モデルを探し当てる近道なのかもしれません。ただし、普遍なものとして、既知モデルとの共通点としては、脅威の仮説を想定するにあたり、次の二点は必須だと思われます。

• 組織内の常態の把握
• 脅威インテリジェンスの入手

持っているつもりの脅威情報に溺れないように

余談ですが、日々、セキュリティ関連の記事が流れてくると、物凄い脅威情報を得た気分になりませんか？その中で、”日本組織”が気にしなければならない、脅威情報は多々ありますが、把握できていますでしょうか。例えば、次の３点を振り返ってみてください。一応、全てOSINTで入手できるものです。

• 毎年夏に”必ず”発出されている脅威情報（0day含む）や数千を超えるIoC
• 国外の政権交代などにおける脅威アクターの動向
• 毎年春に得られる攻撃が想定される標的分野、組織の情報　

「なんのことやら？」と思いましたら、情報洪水に溺れてしまっている可能性がありますので、脅威インテリジェンスにおける運用について見直しを推奨します。

さあ、脅威ハンティングを始めてみましょう。お金をかけずに、ハンティングのできるのは、やはり「ログ」です。前述の通り、ネットワークセキュリティ機器も標的となり得る時代ですので、セキュリティ製品のシステムログやアクセスログも当然対象です。

基本は「かくれんぼ」

攻撃者は見つかってしまったら、仕事になりません。従いまして、当然セキュリティ製品を回避したいと考えます。このセキュリティ対策製品の回避技術は日々研究されており、セキュリティ関連記事でも目にするファイルレス攻撃や上述のセキュリティ製品への攻撃における検知力の無効化などはその典型です。ちなみに、Aqua Security社の「2023年クラウドネイティブ脅威レポート」によれば、ファイルレス攻撃は、2022年の調査結果と比較すると、1,400%増加とのことです。ファイルレス攻撃が急激した要因は不明ですが、間違いなくサイバー攻撃のトレンドとなっていることがわかります。

 人気のEDR製品の回避研究

最近、個人的に気になっているのは、EDR（Endpoint Detection and Response）製品の回避研究をよく目にするようになった点です。EDRはその考え方が提唱されてから丸10年が経ちました。技術進歩の早いIT分野としては古典的な部類に入りつつありますので、導入しているからといって油断は禁物です。

補足：EDRの登場は2013年

EDRは、2013年にガートナーのアントン・チュバキン氏が、主にホスト／エンドポイント上の不審な活動（およびその痕跡）その他の問題を検出・調査することに重点を置いたツールの総称として「Endpoint Threat Detection and Response（ETDR）」と発表したことが初めとされています。つまり、今年はEDRの提唱から10周年ということになります。

最近は、XDR (Extended Detection and Response) やNDR (Network Detection and Response)なども登場しています。先進的な組織においては、これらの製品を組み合わせ、各ソリューションの弱点の補完を行いつつ、対策を強化しているようです。

脅威インテリジェンスの活用による簡易ハンティング

前出の脅威インテリジェンスを活用したハンティングにおいて、代表的なものはマルウェアの特徴をルール化して検出する手法や、ログから特徴的な痕跡を検出する方法が挙げられます。しかし、未認知の脅威に対しては効果が期待できません。その場合は、例えば次の方法を用いて検出を試みては如何でしょうか。

• 組織内のベースラインから逸脱したユーザの挙動の検出の試み（ただし、組織規模が大きい場合は、アナリティクス主導型を併用）
• 「脅威アクターの利用頻度の高い、且つ事業での利用頻度が低い」

他にも、気になる通信やユーザの挙動はあると思います。これらは、事業分野やユーザの職種などにより異なるものです。また、脅威アクターに関しても、事業分野により異なりますので、想定されるリスクシナリオも組織ごとに考えておく必要があります。

このように組織の特性の観点で考えますと、程度にもよりますが、脅威ハンティングを利用したとしても、一様に検出率の高いセキュリティ運用の実施というのは、難しいかもしれません。それでも、組織内の常態を熟知している組織内のセキュリティ担当チームであるからこそ、（通常は出来ないようなことでも）出来る運用方法があるのではないでしょうか。

脅威ハンティングは、これまでも幾つかのフレームワークが発表されていますが、決まった方法は無いという認識です。寧ろ、攻撃トレンドや脅威アクターの動向等を踏まえて進化させていくべきと考えます。日本を標的とする脅威アクターは、比較的限定されています。そのため、一定の精度の脅威インテリジェンスを得られれば、脅威や被害の発見は迅速に出来る可能性は、他国より高いのではないでしょうか。

本稿では、具体的な脅威ハンティングを例に、能動的なセキュリティ対策の重要性について考察しました。もし、興味が湧きましてら、ぜひ積極的に実施してみてください。恐らく、見知らぬ通信の１つや２つは発生しているかもしれません。また、ジャストアイデアですが、脅威の発見数に応じて、評価されるようになると、セキュリティ人材もモチベーションが上がるかもしれません。経営者や人事担当者の方は、ぜひ脅威ハンティングの人事評価への活用ご検討ください。

Author : 

株式会社サイント

代表取締役

岩井 博樹氏