Overview
スレットハンティング(Threat Hunting)とは、既存のセキュリティ機器やアラートに依存せず、セキュリティアナリストが能動的・主体的に組織内のネットワークやシステムを調査し、未検知の脅威や侵害の痕跡を発見するプロアクティブなセキュリティ活動です。従来のアラートベースの受動的な監視とは異なり、「すでに侵害されている可能性がある」という前提に立って調査を行います。
スレットハンティングでは、脅威インテリジェンスや攻撃者のTTPs(戦術・技術・手順)に基づいて仮説を立て、その仮説を検証するためにログデータ、ネットワークトラフィック、エンドポイントのテレメトリデータを分析します。SIEMやEDRが自動検知できなかった高度な攻撃、ゼロデイ攻撃、内部不正などの発見に特に効果を発揮します。
効果的なスレットハンティングには、高度な技術スキルを持つアナリスト、十分なデータ可視性、適切なツール、そして脅威インテリジェンスの活用が不可欠です。ハンティングの結果として発見された新たな攻撃パターンやIoC(侵害指標)は、検知ルールの改善やセキュリティ対策の強化にフィードバックされ、組織全体の防御能力を継続的に向上させます。
Details
仮説駆動型ハンティング(Hypothesis-Driven Hunting)
仮説駆動型ハンティングは、スレットハンティングの最も代表的なアプローチです。脅威インテリジェンス、MITRE ATT&CKフレームワーク、業界のセキュリティレポートなどに基づいて仮説を設定し、その仮説を検証するためのデータ分析を行います。
例えば、「攻撃者がPowerShellを使用してLiving off the Land(環境寄生型)攻撃を実行している可能性がある」という仮説を立てた場合、PowerShellの実行ログ、スクリプトブロックログ、エンコードされたコマンドの使用状況などを調査します。仮説が裏付けられた場合は対応を行い、裏付けられなかった場合でも新たな仮説の材料として活用します。
IoC検索型ハンティング(Intelligence-Driven Hunting)
IoC検索型ハンティングは、脅威インテリジェンスから得られた具体的なIoC(不審なIPアドレス、ドメイン、ファイルハッシュ、ファイルパス等)を使用して、過去のログデータやテレメトリデータを遡及的に検索する手法です。新たに公開されたAPTグループの攻撃キャンペーンに関するIoCを使用して、自組織が過去に影響を受けていなかったかを確認するレトロスペクティブハンティングが代表例です。
異常検知型ハンティング(Analytics-Driven Hunting)
異常検知型ハンティングは、ベースライン(正常な動作パターン)からの逸脱を検出する統計的・機械学習的手法を活用するアプローチです。通常とは異なる時間帯のログイン、異常なデータ転送量、普段使用しないツールの実行、新規の外部通信先への接続など、統計的に異常な行動を特定して調査します。
UEBA(User and Entity Behavior Analytics)ツールやデータサイエンスの手法を活用し、大量のログデータから統計的な外れ値を検出します。この手法は既知のIoCに依存しないため、未知の脅威の発見に有効ですが、誤検知の管理と正常動作のベースライン構築が課題となります。
スレットハンティングのプロセス
スレットハンティングは一般的に、仮説の設定 → データの収集・準備 → 調査・分析 → 発見事項の検証 → 対応・改善というサイクルで実施されます。仮説の設定には脅威インテリジェンスやATT&CKフレームワークを活用し、調査にはSIEM、EDR、ネットワーク分析ツール、データ分析プラットフォームを使用します。
ハンティングの結果は、新たな検知ルールの作成、既存ルールのチューニング、セキュリティ対策の改善、脅威インテリジェンスへのフィードバックとして活用されます。この継続的なサイクルにより、組織のセキュリティ態勢が段階的に強化されていきます。
スレットハンティングに必要なデータソース
効果的なハンティングには、幅広いデータソースへのアクセスが不可欠です。主要なデータソースとして、エンドポイントテレメトリ(プロセス実行、ファイル操作、レジストリ変更)、ネットワークログ(DNS、プロキシ、ファイアウォール、NetFlow)、認証ログ(Active Directory、VPN、クラウドサービス)、クラウドサービスログ(AWS CloudTrail、Azure Activity Log等)があります。
データの収集範囲と保存期間は、ハンティングの有効性を大きく左右します。特にAPT攻撃は数か月から数年にわたって潜伏するケースがあるため、十分な期間のログ保存が重要です。
Security Measures
- 01定期的なハンティングプログラムの確立:アドホックな調査ではなく、定期的かつ計画的なスレットハンティングプログラムを確立してください。ハンティングの頻度、対象範囲、使用する仮説カタログ、報告テンプレートを標準化し、組織的な活動として定着させましょう。
- 02十分なデータ可視性の確保:エンドポイント、ネットワーク、認証、クラウドサービスなど、広範なデータソースからのログ収集を整備してください。Sysmonの導入、PowerShellスクリプトブロックログの有効化、DNS QueryLogの取得など、検知に必要なテレメトリの充実が不可欠です。
- 03MITRE ATT&CKに基づくハンティング仮説の体系化:MITRE ATT&CKの各技術に対応したハンティング仮説を体系的に整備し、カバレッジの可視化と優先度付けを行ってください。未カバーの技術領域を特定し、段階的にハンティング範囲を拡大しましょう。
- 04ハンティング結果の検知ルールへの反映:ハンティングで発見された新たな攻撃パターンや異常な行動を、SIEMやEDRの自動検知ルールとして実装してください。ハンティングの成果を自動化に変換することで、同様の脅威を将来的にアラートベースで検知できるようになります。
- 05ハンターのスキル育成と知識共有:スレットハンターには、OS・ネットワーク・クラウドの深い技術知識、攻撃手法への理解、データ分析スキルが求められます。定期的な技術トレーニング、CTF参加、ハンティング事例の社内共有を通じてチームの能力を向上させてください。
- 06脅威インテリジェンスとの密接な連携:脅威インテリジェンスチームから最新の脅威動向、攻撃者のTTPs、新たなIoCを定期的に共有してもらい、ハンティング仮説の策定に活用してください。ハンティングの成果も脅威インテリジェンスにフィードバックし、双方向の情報循環を構築しましょう。
Incidents
📋 SolarWinds攻撃のスレットハンティングによる発見(2020年)
2020年のSolarWinds Orionサプライチェーン攻撃は、セキュリティ企業FireEye(現Mandiant)のスレットハンティングチームが自社環境の異常を調査する過程で発見されました。通常のセキュリティ監視では検知できなかった高度な攻撃が、プロアクティブなハンティング活動によって明らかになりました。
FireEyeのハンターは、多要素認証に登録された新たなデバイスに関する異常なアラートを起点として調査を開始し、最終的にSolarWinds Orionのアップデートに仕込まれたバックドア「SUNBURST」を発見しました。この事例は、高度な攻撃に対してスレットハンティングが唯一の検知手段となり得ることを世界に示しました。
📋 レトロスペクティブハンティングによる長期潜伏APTの発見
ある国内の重要インフラ事業者が、脅威インテリジェンスレポートで公開された国家支援型APTグループのIoCを使用してレトロスペクティブハンティングを実施した結果、約8か月前から自組織のネットワークに侵入していた攻撃者の活動を発見しました。
攻撃者は正規のリモートアクセスツールとLiving off the Landの手法を巧みに使い分け、通常のセキュリティ監視をすり抜けていました。過去のDNSログとプロキシログの遡及調査により、C2通信の全容が解明され、攻撃者が窃取を試みていた機密情報の範囲が特定されました。
📋 異常検知型ハンティングによる内部不正の発見事例
ある製造業のスレットハンティングチームが、UEBA(User and Entity Behavior Analytics)を用いた異常検知型ハンティングを実施した際、特定の従業員アカウントから通常業務では使用しない機密ファイルサーバーへの大量アクセスを検知しました。
詳細な調査の結果、当該従業員が競合他社への転職を予定しており、退職前に営業秘密を含む技術文書を大量にダウンロードしていたことが判明しました。この事例は、外部脅威だけでなく内部脅威の検知においても、スレットハンティングのアプローチが有効であることを実証しました。