待つのではなく、能動的に「狩り」に出る

現代のSOC(Security Operations Center)において、SIEMのアラートが鳴るのを待つだけの「リアクティブ(受動的)な運用」は破綻しつつあります。 国家支援型ハッカー(APT)や高度なランサムウェアグループは、システムの正規ツール(PowerShellやWMI)を悪用する Living-off-the-Land(環境寄生型)攻撃 を駆使し、セキュリティ製品のシグネチャによるアラートを巧妙に回避します。

脅威ハンティング(Threat Hunting) とは、「我々の環境は既に侵害されており、従来の防御網をすり抜けた攻撃者がどこかに潜伏している」という悲観的かつ現実的な仮説(Assume Breach)に基づき、熟練のアナリストが能動的にネットワークとエンドポイントのログの海から「微かな異常」を探索し、攻撃者を炙り出すプロアクティブな活動です。

脅威ハンティングの3つのフェーズ

ハンティングは単なるログのランダムな検索ではありません。科学的なアプローチに基づく**仮説駆動(Hypothesis-Driven)**のプロセスです。

  1. 仮説の設定(Hypothesis Generation)
    • 漠然と探すのではなく、「誰が・何を・どうするか」のシナリオを立てます。
    • (例)「最近、同業他社が『APT29』による攻撃を受けた。脅威インテリジェンスによれば、彼らは初期侵入後に必ずLSASSプロセスのメモリダンプを行う。我が社のEDRログにも、正体不明の実効ファイルからLSASSへのメモリアクセス履歴があるのではないか?」
  2. データの収集とハンティング(Investigation)
    • EDRのクエリ言語やSIEMを用いて、数千台のエンドポイントの過去30日間のプロセス実行履歴、レジストリ変更、DNSログから仮説に合致する「異常値」を抽出します。
  3. 分析・対応・ルール化(Enrichment & Automation)
    • 発見された異常が真の脅威(インシデント)であればIRチームへ引き継ぎます。
    • 重要なのは、**「ハンティングで見つけた高度な手口を、次の日から自動で検知できるようにSIEM/EDRのルール(Detection As Code)として実装する」**ことです。これにより防衛網が日々進化します。

The Pyramid of Pain(苦痛のピラミッド)

インシデントレスポンスの第一人者であるDavid Biancoが提唱した**「Pyramid of Pain」**は、脅威ハンティングと検知エンジニアリングの根幹をなす概念です。 これは「我々がどのような指標をベースに防御・検知を行うか」が、「敵(攻撃者)にとってどれだけのコスト(苦痛)を与えるか」を図示したものです。

  1. ハッシュ値 (Hash Values): 攻撃者の苦痛 [Trivial(無に等しい)] 1ビット変えるだけでハッシュは変わる。ブラックリスト型の限界。

  2. IPアドレス (IP Addresses) / 3. ドメイン名 (Domain Names): 攻撃者の苦痛 [Easy(簡単) / Simple(単純)] クラウドインフラやDGA(動的ドメイン生成)を使えば数秒で変更可能。

--- ↑ ここまでが従来の「IOC(Indicators of Compromise:侵害の痕跡)」の限界 ---

  1. ネットワークとホストの痕跡 (Network/Host Artifacts): 攻撃者の苦痛 [Annoying(面倒)] 特定のレジストリキーやユーザーエージェント文字列など。

  2. ツール (Tools): 攻撃者の苦痛 [Challenging(困難)] MimikatzやCobalt Strikeなどの固有ツールを封じられると、攻撃者は新しいツールを開発するか調達しなければならない。

  3. TTPs (Tactics, Techniques, and Procedures): 攻撃者の苦痛 [Tough(極めて苦痛)] 「Pass-the-Hashを行う」「スケジュールタスクで永続化する」という攻撃者の『戦術・振る舞い』そのものを検知する。これを変えるには、攻撃の手順を根本から再設計しなければならない。

高度な脅威ハンティングは、ピラミッドの下層である「IOC(ハッシュやIPベースの検索)」ではなく、トップレベルである**「TTPs(振る舞いベースの検知)」**に焦点を当てます。

TTPs ハンティングの実践ツール

ハンターは特定のベンダー製品に縛られないオープンなクエリやルールエンジンを駆使します。

1. YARA(マルウェアパターンのスイスアーミーナイフ)

ディスク上のファイルやメモリダンプから、マルウェアの固有の関数名や難読化された文字列の「特徴(バイト列)」を高速にスキャンするルール言語です。

2. Sigma(SIEM共通の汎用ログ検知言語)

特定のSIEM(Splunk, Sentinel, Elasticsearch等)の独自言語に依存せず、Windowsイベントログなどの振る舞い(TTPs)を汎用的に記述し、後から自社のSIEM言語に自動変換するためのフォーマットです。

title: PSExec Remote Execution Detection description: 攻撃者がよく用いる、PsExecによるリモートサービス経由でのコマンド実行イベントを検知する status: stable logsource: product: windows service: system detection: selection: EventID: 7045 # 新しいサービスがインストールされた ServiceName: ‘PSEXESVC’ condition: selection level: high tags:

  • attack.lateral_movement
  • attack.t1021.002
MITRE ATT&CK へのマッピング

業界標準であるMITRE ATT&CKフレームワークは、脅威ハンティングにおける「地図」です。 SOCのハンターはATT&CK Navigatorを使用し、「自社はT1059(コマンドラインインターフェース)の検知は盤石だが、T1078(有効なアカウントの悪用)の検知が手薄だから、来週はこのTTPsについてハンティングを行おう」と計画を立てます。

理解度チェック

【確認問題】脅威ハンティングの重要な基盤指標である「Pyramid of Pain(苦痛のピラミッド)」において、我々防衛側が検知・ブロックした際に、攻撃者に対して最も高いコスト(苦痛)を強いることができる、ピラミッドの最頂点に位置する要素はどれですか?