巧妙化するサイバー攻撃に対して、防御する側は様々な対策を取ります。しかし検知することができないセキュリティ攻撃やマルウェアは数多く存在し、多くの企業によっては悩みの種となっています。アンチウィルスソフトの性能は確かに向上していますが、全てのマルウェアを完璧に検出できないことは、多くのセキュリティ担当者は知っているはずです。
脅威ハンティング(スレットハンティング)は、侵入した脅威に対してアラートを上げるのではなく、すでに侵入されてしまった脅威を、ログ解析や機械学習などを活用することで、積極的に狩り(ハンティング)する手法です。今回はネットワークやシステムにすでに潜伏しているマルウェアやクラッカーを発見する脅威ハンティングについて紹介します。
この記事の目次
脅威ハンティングとは
脅威ハンティングとは従来の方法では検知が難しいマルウェアやハッカーの侵入に対して、それらがすでに侵入していると仮定して、システムやネットワーク内部におけるプロセスやログの不審なデータを分析することであぶりだす手法のことを言います。
米国の企業「Sqrrl Data」のホワイトペーパー「A Framework for Cyber Threat Hunting」によると、脅威ハンティングについて以下のように定義されています。
We define hunting as the process of proactively and iteratively searching through networks to detect and isolate advanced threats that evade existing security solutions.
ネットワークを積極的に何度も反復して検索し既存のセキュリティソリューションによる網の目をかいくぐるような先進的脅威を検知し、隔離するためのプロセス。
また、このホワイトペーパーでは以下のような内容も記されています。
Hunting consists of manual or machine-assisted techniques, as opposed to relying only on automated systems like SIEMs. Alerting is important, but cannot be the only focus of a detection program.
脅威のハンティングは、SIEM(Security Information and Event Management)のような自動化されたシステムにのみ頼るのではなく、手作業とマシンによって支援されるテクニックで構成されている。アラートは重要であるとはいえ、検知プログラムにおいてアラートのみに焦点を当てることはできない。
つまり脅威ハンティングは完全に自動化できるものではなく、人間が手作業で行う要素も存在するということを主張しています。なぜなら脅威の兆候の検知を定期的に実施する作業は自動化できても、経験豊かなアナリストやエンジニアは、脅威ハンティングにおいてこれからも必要になるからです。
脅威ハンティングの効果
脅威ハンティングが効果的となるのは、個々の分析結果にとらわれず、全体的な異常の検出につながる場合です。脅威ハンティングで得られた脅威の情報をもとにして、セキュリティ担当者はその脅威を検知できなかった理由を分析したり、今後同じような攻撃を受けた場合に対する検知の方法を取得したりすることができます。
もし仮に脅威ハンティングを行い、何も脅威が検出されなかったとしても、脅威ハンティングの活動を通じて、既存のネットワークにおける問題点の把握や、潜在的なセキュリティの課題を認識することにつながります。
つまり脅威ハンティングを行うことで、侵入されてしまったマルウェアやクラッカーを検出するだけでなく、今後のセキュリティ対策の有効的な方法を見い出すことにもなるのです。
脅威ハンティングとペネトレーションテストの違い
セキュリティ対策をしっかりと行っているシステムは、脅威の侵入を防ぐための最大限の対策を行っていると考えられています。しかしながら、脅威ハンティングではそのようなシステムに対してもクラッカーに侵入されてしまっているものと仮定し、システムの内部で発生していることや、不審なプロセスの振る舞いを監視し、データを集めます。その結果、マルウェアなどによる悪意のある活動を発見するなどの調査を進めます。
一方、ペネトレーションテストは、外部からシステムに対して具体的に侵入するテストを行います。クラッカーはシステムのどの場所からアクセスする可能性が高いのか、どの程度の侵入を許してしまうのかなどのテストを行ういます。ペネトレーションテストはこのように既知の技術を用いて侵入を試みるテストのことを指します。ペネトレーションテストは「侵入実験」や「侵入テスト」などと呼ばれています。
脅威ハンティングとインシデント対応の違い
脅威ハンティングでは、すでにシステムに侵入されてしまっているマルウェアやクラッカーを検出することを目的としています。一方、インシデント対応では既に検知済みの脅威に対する対処を行います。
脅威ハンティングで検出された脅威は、インシデント対応チームにとっては未知の脅威ということになります。そして脅威ハンティングとインシデント対抗は全くの無関係の存在ではありません。
脅威ハンティングにより侵入を許してしまったクラッカーやマルウェアの対応に関して、インシデント対応チームが依頼を受けた場合、対応に必要な情報や環境はすでに出そろっていることが多いです。なぜなら脅威ハンティングの実行した過程で、不審な活動の対応すべき具体的な箇所や、詳細な情報の把握はすでに済んでいるからです。これらの情報はすべてインシデント対応チームに委ねられます。つまり事前準備が整った状態でインシデント対応に取り掛かれることで、対応に必要な作業量は削減され、速やかな脅威の対処に取り掛かることができます。
脅威ハンティングを行う上での注意点
脅威ハンティングによる調査で注意すべき点は、全てを機械やプログラム任せにするのではなく、人間による作業も必要になるという点です。近年、AIの進化により機械学習が注目されており、それをビッグデータと組み合わせることで、人間が優れた意思決定をするための優れたツールになります。しかしそれはあくまでも人間にとって「補助的」な道具としてです。脅威ハンティングを行うことで、人間の攻撃者と防御者を向き合わせることができます。そしてそれが脅威ハンティングの最も重要な点です。
また、脆弱性を検知してアラートを通知する方法だけでは、対策の初期段階においては脅威の実態や深刻度が明らかになっていないため、混乱が発生することもあります。
しかし脅威ハンティングによりあぶり出された脅威は、ハンティングによって対象領域や脅威に関するある程度の情報が出そろっています。脅威ハンティングを行う際には、ハンティングによって脅威を検出するだけでなく、インシデント対応チームと密な連携を取り正確な情報伝達を行うことが重要です。
まとめ
ある調査によると、脅威ハンティングを2017年に取り組むべきセキュリティ上の最優先事項と回答した人の割合は80%近くになります。しかし実際に脅威ハンティングを取り入れている組織は全体の1/3程度でしかありません。これは脅威ハンティングを行うための環境や人材がまだ整っていないことを表しています。
しかし現在では脅威ハンティングのプラットフォームを提供している企業がいくつかあります。自社のスタッフだけで脅威ハンティングの導入が難しい場合は、プラットフォームを提供しているプロに依頼することも選択肢の一つです。脅威に対する従来の検知型アプローチから一歩進んだ、脅威ハンティングの導入を一度検討してみてはいかがでしょうか。