脅威ハンティングは情報セキュリティの基本的な考え方の1つです。IT環境をチェックし、不正な活動の徴候や運用上の欠陥の有無を確認することができます。脅威ハンティングでは、仮説に基づくアプローチを採用し、多くの場合、行動分析の機能を活用しているため、ルールベースの検知やシグネチャベースの検知を凌駕しています。

脅威ハンティングとは

脅威ハンティングは、サイバーセキュリティを強化するための施策の1つです。事前対応型の手法とインテリジェントなテクノロジーを活用して、組織のシステム内で行われている不正な活動を検知してその影響を低減します。脅威ハンティングでは、攻撃者がすでに組織のコアのシステムを侵害していると仮定して行動します。攻撃者は既存のツールやテクノロジーでの検知を回避する方法をすでに見つけており、脅威を根絶するにはアクティブなアプローチが必要であるとの考え方が、この仮定を支える重要な要素になっています。この点が、旧来の監視機能に頼ったこれまでの脅威検知の手法やツールで行う脅威ハンティングとは異なります。ただし、これらの検知手法やツールも効果的に使用すれば脅威ハンティングのプロセスで役立ちます。

脅威とは

脅威とは、データ、個人、システム、資産を侵害して混乱に陥れる状況や悪意のある行動を意味します。脅威を構成する一般的な要素としては、マルウェアやデータ侵害、ランサムウェア攻撃、アカウントの乗っ取りなどが挙げられます。脅威を生み出す攻撃者はさまざまなグループから構成されます。国家主導の攻撃者グループ、テロリストグループ、サイバー犯罪者、組織に不満を抱く内部の関係者などはすべてが脅威をもたらす要素となり得ます。

脅威ハンティングの進化

脅威ハンティングが始まって間もないころ、事前対応型の検知を支える土台となっていたのが、侵害の痕跡（IoC）でした。IoCは、攻撃やシステム侵害が発生したことを証明する証拠を意味します。脅威ハンターは通常、IoCを特定するために、マルウェアに感染したファイルや、外部への不自然なデータの発信をはじめとする異常な挙動を探していました。既存の脅威を特定する場合、IoCを活用する手法はきわめて有用ですが、1つの欠点があります。この手法では、これまでに確認された脅威しか検知できません。巧妙さを増した未知の攻撃には、既知の痕跡が存在しないケースがあります。

IoCに全面的に依存する手法の限界を克服するには、仮説に基づくモデルを活用し、システムへの侵入前に潜在的な脅威を特定する必要がありました。この手法では、将来の攻撃ベクターの予測に効果を発揮する脆弱性の特定にこれまで以上に専念しています。

脆弱性やこれまでに発生したシステム侵害とは別に脅威ハンターが注目している要素に、「TTP（戦術、技術、手順）」があります。これらの3つが組み合わさり、システムを侵害する際の攻撃の手法や攻撃者の行動が構成されます。

脅威ハンティングとインシデント対応の違い

インシデント対応という手法は本来、事後対応型の手法です。通常では、侵入検知のシステムや侵入検知のプロセスがアラートを生成し、それを受けて運用担当者のグループが対応に当たり、脅威を無力化し、ダメージの影響を低減できるまで措置を行います。一方、脅威ハンティングは仮説に基づく事前対応型の取り組みで、ネットワークや組織内の重要なシステムにすでに侵入しているおそれのある脅威を特定し、脅威を排除します。

ただし、脅威ハンティングは検知だけに重点を置いているわけではありません。仮説に基づくアプローチで防御にも対応しています。自身の組織におけるセキュリティの現状を把握し、攻撃の標的になる環境のセキュリティを強化するために、脅威ハンティングは最も効果を発揮します。

高性能のインシデント対応機能では、インシデントをすばやく特定することや、問題のトリアージと解決の能力を重視しています。一方、はリスクを軽減し、将来の脅威に備えてインシデント対応の仕組みを強化できます。

脅威ハンティングとペネトレーションテストの主な違い

ペネトレーションテストでは、積極的に組織の防御を突破する攻撃を行い、どのシステムに攻撃者がアクセスする可能性が高いか、攻撃者はどの程度深くまで環境内に侵入しうるのかを判断します。基本的には、外部から侵入を試みます。

脅威ハンティングは内部から外部のアプローチです。侵入を防ぐ最大限の対策を行っているにもかかわらず、攻撃者は環境内に入り込んでいると仮定します。環境内で何が起こっているのか、特に不審な振舞いに注目して状況を見極めます。これにより、攻撃を検知できるようになります。

ハンティングで得られた情報のなかに、組織のセキュリティ品質の向上に役立つデータはあるか

あります。セキュリティチームは、ハンティングで得られた脅威情報により、脅威を検知できなかった理由を特定したり、今後同様の攻撃を受けた場合に脅威を検知する方法を見つけたりできます。熟練のハンターが理解しているように、より強固で効果の高い防御メカニズムの構築に利用できる脅威データを収集することが、脅威ハンティングでは重要になっています。

ハンティングを行っても環境内に何も見つからなかった場合、時間や費用が無駄にならないか

そんなことはまったくありません。確かに、ハンティングの主要な目的は、環境内に侵入した脅威を見つけ出すことにありますが、ハンティングを行えば、これまで以上に詳しく、環境内の状況を把握できるようになるほか、潜在的なセキュリティの問題を特定することも可能になります。たとえば、ある金融サービスの企業でハンティングを実施したところ、環境内に脅威は発見されませんでしたが、多くの従業員がFTPを利用していることが判明し、毎日、約100GBのデータが社外に発信されていることも明らかになりました。さらに調査進めた結果、FTPの利用に不審な点は確認されませんでしたが、CISOが懸念を示し、FTPの利用は禁止となりました。この結果、ftp .exeを悪用する攻撃者にデータを窃取されるリスクが解消されたのです。もしも、ハンティングを行わなかったら、CISOは間違った想定のままでシステムの運用を続け、組織を危険にさらすことになったでしょう。

脅威ハンターは具体的にどのような作業を行っているのか

ハンターの知識は、IT環境やマルウェアの攻撃ベクター、攻撃者についてなど、膨大です。ハンターは環境内で探すべきTTP（手法、技術、手順）の情報を熟知しています。

攻撃者がどのような情報を求めているのか、全体として何を狙っているのか、どのシステムが侵害を受けたのかなど、攻撃に関する情報を収集することに、ハンターは注力しています。インシデント対応や復旧作業に脅威ハンターが携わることはありません。ただし、インシデント対応チームを支援することはあります。脅威ハンティングに携わる人たちは、過去に政府関係機関での勤務を経験していることが多く、軍事機関や略字3文字の連邦機関で働いた経歴を持っています。

脅威ハンティングのツールと手法

脅威ハンティングを始める場合に注目すべき重要な3つのステップがあります。脅威ハンティングでは、仮説の設定、仮説の実行、徹底した仮説の検証という3つのステップで結論を導き出します。科学的手法ではいずれの場合も、仮説は、実行および検証が可能でなければなりません。仮説を立てたアナリストやチーム全体が絶えず妥当性を疑う必要もあります。

前に述べたように、脅威ハンティングで仮説を実行するときには通常、侵害の痕跡（IoC）に照らしたチェックを行います。特権ユーザーの挙動やログインの試行、HTMLの応答、レジストリの変更、ポートへの異常なアクセス、地理的要因や季節性の要因による一般的な変動とは異なるデータの利用パターンの変動などの痕跡を観察、分析すれば、スムーズな仮説の検証が可能になります。

脅威ハンティングでは、最新の情報が貴重な資産の1つになります。サイバーセキュリティの業界には、ブログ記事や脅威レポート、ホワイトペーパーなどが数多く存在し、最新の情報を求めている脅威ハンターにとって、これらはどれもきわめて価値の高い情報源になっています。具体的には、業界で確認されている攻撃やマルウェア、対処法の形態を常に把握していれば、より完全な仮説を立てるうえで、また、侵入検知/侵入対応システムを回避できる脅威を特定する際に大いに役立ちます。

外部のナレッジベースの利用と同じくらい重要になるのが、過去に受けた侵害に関する内部のナレッジの維持です。脆弱性を突いた攻撃では、通常、何らかの足跡が残ります。高性能のEndpoint Detection and Response（EDR）ツールを活用すれば、攻撃の内容を包括的に把握することが可能になり、今後の脅威ハンティングの内容を大幅に強化できます。