脅威ハンティングとは?

脅威ハンティングは、攻撃者の行動を分析し、潜在的な脅威を特定することで、組織への攻撃回避を可能にします。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「脅威ハンティング」を定義する
  • 一般的な脅威ハンティングモデルを比較
  • 脅威ハンティングと脅威インテリジェンスの対比

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

脅威ハンティングとは?

脅威ハンティングとは、組織がサイバー脅威を特定するために使用する技術やツールの総称です。従来の脅威ハンティングは、自動化されたツールではなく、セキュリティアナリストの専門知識に依存した手作業の調査プロセスでしたが、最新の脅威ハンティングは、この2つの組み合わせに依存しています。

多くの場合、「脅威ハンティング」とは、プロアクティブな脅威の検出を指します。組織は先手を打って内部の悪意のある活動の兆候についてネットワークを評価したり、その外部に存在する攻撃者のインフラを調査したりします。あまり知られていませんが、この用語は反応型脅威検知の意味もあり、データ侵害、または同様の攻撃を受けて、組織が自らのインフラに弱点がないか分析することを指します。

攻撃の兆候(IoA)とは?

脅威の探索プロセスにおいて、組織は攻撃の兆候(IoA)*を探し、潜在的な攻撃者の意図と行動を特定します。IoAとは、攻撃を成功させるために攻撃者が実行しなければならない行動や一連の動作のことで、例えば、標的を騙してフィッシングメールを開かせる、悪意のあるリンクをクリックさせる、マルウェアのダウンロードを実行する、などが該当します。攻撃者の具体的な戦術や手順を理解することで、組織はよりプロアクティブな脅威防御を構築することができます。

安全が損なわれたことを示す指標(IoC)は、ネットワークトラフィックの異常、不審なログイン、管理者レベルのアカウントやファイルへの予期せぬ更新、組織が侵害されたことを示すものなど、悪意のある活動の証拠です。IoCは、通常、組織がすでに侵害されていることを示すため、反応型脅威ハンティング手法の有用なコンポーネントです。

*これは攻撃者の戦術、技術、手段(TTP)とも呼ばれます

脅威ハンティングとはどのようなものか?

脅威ハンティング手法は、組織のニーズやセキュリティチームの能力によって異なりますが、一般的には、構造化ハンティング、非構造化ハンティング、状況ハンティングの3つのカテゴリーに分類されます。

  1. 構造化ハンティングは特定の攻撃者の行動や戦術、つまりIoAを特定し、分析します。脅威ハンティングのプレイブック(MITRE ATT&CK framework)に従って仮説を立てる、仮説ベースのハンティングモデルを採用しています。構造化されたハントの主な目的は、攻撃が組織に対して行われる前に、攻撃者の行動を事前に捉えることです。
  2. 非構造化ハンティングは、組織の一部の安全性が損なわれた最近または過去の攻撃を示す可能性のあるIoC(言い換えれば、悪意のある活動の証拠)を発見した場合に発動されるものです。非構造化ハントでは、情報共有プラットフォームから提供されるIPアドレス、ドメイン名、ハッシュ値などのデータを調査する、インテルベースの反応型ハントモデルを使用します。その主な目的は、組織のインフラやシステムに存在する既存の脆弱性を調査することです。
  3. 状況ハンティングは、エンティティ駆動型ハンティングとも呼ばれ、安全性が損なわれる危険性がある特定のシステム、資産、アカウント、またはデータに焦点を当てます。例えば、管理者権限のあるアカウントは、権限の少ないアカウントと比較して、より機密性の高いデータやシステムにアクセスできる可能性があるため、サイバー攻撃のリスクが高くなる可能性があります。状況ハントは、組織全体のIoAやIoCを調べるのではなく、リスクの高いターゲットを保護し、そのターゲットが直面しそうな脅威を把握することを主目的としているため、組織のニーズに合わせてカスタマイズできる脅威ハンティングモデルを使用します。

これらのプロセスの違いを視覚化するために、ボブが3つの異なるバードウォッチング技術を使って鳥を識別しようとしていることを想像してください。1つの方法は、鳥の移動パターン、交尾の儀式、餌を食べる時間帯など、その鳥が目撃されやすい場所や時間を特定するのに役立つ行動要因を分析するもので、多くの計画を立てる必要があります。これは、攻撃者の既知の戦術や行動を明らかにすることに重点を置く、構造化ハンティングに似ています。

別の方法では、ボブは森を訪れ、巣や糞など、鳥の存在を示す物的証拠を探すこともあります。これは、IoCを検出したときに発動することが多い非構造化ハンティングと似ています。

第3の方法として、ボブは一般的な種よりも絶滅危惧種の鳥の追跡を優先し、特定しようとする特定の鳥に合わせたアプローチをする必要があるかもしれません。これは、リスクの高いターゲットに対して、カスタマイズされた戦略で脅威を特定する状況ハンティングに似ています。

脅威ハンティングツールの種類

従来の脅威検知プロセスは、セキュリティアナリストが組織のネットワーク、インフラ、システムを手作業で調査し、外部および内部の脅威(データ漏洩や悪意のあるラテラルムーブメントなど)を検知するための仮説を作成し、検証することに頼っていました。

これに対し、最新の脅威ハンティングは、サイバーセキュリティツールを使用して調査プロセスの自動化と合理化を支援します。代表的なツールには、以下のようなものがあります。

  • セキュリティ情報およびイベント管理(SIEM)、ログデータの集約、アラート監視、セキュリティインシデント分析、コンプライアンスレポートなどの機能を提供するセキュリティソリューションです。
  • 検出と応答の管理(MDR)は、マネージドセキュリティオペレーションセンター(SOC)の一種で、ネットワーク活動の追跡、アラートの作成、潜在的脅威の調査、アラートの誤検知の除去、高度な分析の提供、セキュリティインシデントの修復支援を行います。
  • ユーザーとエンティティの動作分析(UEBA)は、ユーザーやエンドポイントのデータの集約、正常な動作のベースラインの確立、組織のシステム全体における異常の検出・分析を行うセキュリティサービスです。

脅威ハンティングと脅威インテリジェンスの比較

脅威ハンティングとは、攻撃者の行動やサイバー攻撃の証拠など、組織が直面する潜在的な脅威を発見し分析するプロセスです。脅威ハンティングの目的は、組織のインフラ内の脆弱性を発見するだけでなく、まだ実行されていない脅威や攻撃を発見することです。

一方、脅威インテリジェンスは、サイバー攻撃に関する一連のデータであり、潜在的な脅威と既に発生した攻撃の両方が含まれます。多くの場合、このデータは脅威インテリジェンスフィードにまとめられ、組織は脅威ハンティングのプロセスやセキュリティの手法を向上させるために利用することができます。

つまり、脅威ハンティングは犯罪現場での捜査に似ており、脅威インテリジェンスは現場で収集される証拠品のようなものです。

脅威インテリジェンスの分類と目的については、「脅威インテリジェンスとは何か」をご覧ください。

Cloudflareは脅威ハンディングサービスを提供していますか?

Cloudflareセキュリティセンターは、セキュリティチームが単一の統一インターフェースから潜在的な攻撃を特定、追跡、軽減することを支援するために設計された脅威調査機能を提供します。脅威調査ポータルでは、特定のIPアドレス、ホスト名、自律システム(AS)を照会して、新たな脅威の発生源を特定することができます。

Cloudflareセキュリティセンターについて詳しくはこちら