はじめに
脅威ハンティングは、サイバーセキュリティ分野において悪意のある活動の兆候や潜在的な脅威を積極的に探索するプロアクティブなアプローチです。
組織内の活動として脅威ハンティングの役割を理解するためには、インシデント対応と区別することが重要です。
本記事では脅威ハンティングの概要や脅威ハンティングを役立てる手段として、MITRE ATT&CK Navigatorの使用方法について記載しています。
脅威ハンティング
日本語の脅威ハンティングは、英語のThreat Huntingを直訳したものです。
脅威ハンティングの目的は、IDS・IPS及びSIEMなど既存のセキュリティソリューションでは検出されないような潜在的な攻撃を探索することです。
導入の意義を見出すためには、脅威ハンティングを実践するにあたり、脅威インテリジェンスの本質やインテリジェンス活動によって生まれる価値を理解することが重要です。
MITRE ATT&CKや脅威インテリジェンスについては、以前書いた以下の記事をご参照ください。
従来のセキュリティソリューションは、ルールベースやシグネチャベースが多いため、未知の脅威やゼロデイ攻撃などを見逃す可能性があります。従って脅威ハンティングは、このような潜在的な脅威を補完することが求められます。
脅威ハンティングとインシデント対応の違い
組織内での役割を理解するために、脅威ハンティングとインシデント対応の違いを理解することから始めましょう。
| 項目 | Threat Hunting:脅威ハンティング | Incident Response:インシデント対応 |
|---|---|---|
| 目的 | 潜在的な脅威やインシデントにつながる可能性のある疑わしい兆候を事前に発見し、未然に防ぐこと | 発生したインシデントに対処し、被害を最小限に抑えること |
| 活動のタイミング | 攻撃が発生する前、または攻撃が進行中の状態 | アラートによってトリガーされる |
| 手法 | 脅威を予測し、探索する | インシデントの原因を特定・根絶する |
| アウトプット | 潜在的な脅威や異常なアクティビティの検出、改善提案 | インシデント報告書、対応計画、再発防止策の策定 |
| 関係者 | セキュリティアナリスト | インシデントレスポンダー、フォレンジックアナリスト、セキュリティエンジニア |
脅威ハンティングの本質はプロアクティブです。脅威インテリジェンスに基づいて組織のセキュリティ体制の強化を追求する以外に、ハンティングを行うための「トリガー」は存在しません。能動的性質を持つ脅威ハンティングと、受動的なインシデント対応は目標が違うため、手段も異なります。
脅威ハンティングの取り組み
ハンターが狩猟で動物の足跡を辿るように、サイバーセキュリティではIoC(Indicator of Compromise)1やIoA(Indicator of Attack)2を基に調査やプロアクティブなセキュリティ対策を実装します。
脅威ハンティングを効果的に実施するためには、IPアドレス、URL、ハッシュなどの脅威情報を収集・分析し、適切に管理することが重要です。例えば、ブラックリストの活用はセキュリティ対策の基本的かつ重要なアプローチの一つです。
悪意のあるIPアドレスやURL、既知のマルウェアファイルのハッシュをブラックリストに登録することで、脅威の拡散やネットワークへの侵入を事前に防ぐことができます。
なお、攻撃が動的なホスティング環境から行われている場合、IPアドレスなどは変化するため、必ずしも完全ではありません。そのため、脅威ハンティングを行う際には、ブラックリストの登録に加えて常に最新の脅威インテリジェンスを取り入れ、リストを更新し続けることが重要です。
脅威ハンティングに関する調査で役立つサイトを以下に記載します。abuse.chは、サイバー脅威に関するコミュニティ主導の脅威インテリジェンスを提供しています。
abuse.ch
Malware
IoC
WebサイトのURLやIPアドレスなどのIoCはデファンングしている場合が多いと思いますが、Uncoder.IOなどのサイトで簡単に変換できます。
MITRE ATT&CK Navigator
ATT&CK Navigatorは、ATT&CK マトリックスに注釈を付けて調査するためのWebベースのツールです。
防御範囲、レッド/ブルー チームの計画、検出されたテクニックの頻度などを視覚化するために使用できます。
使用方法
脅威ハンティングを実践するために、ランサムウェアに関するAPTグループの情報を収集して、視覚化する方法について以下に記載します。
MITRE ATT&CK® Navigatorを開き「Create New Layer」を押します。
「Enterprise ATT&CK」を押します。
検索バーに「ransomware」と入力します。
「Technique Controls」の「Threat Groups」から対象とするグループの「select」ボタンを押します。以下では例としてFIN7を選択しています。
「Technique Controls」の「background colour」アイコンを押して、任意のカラーを選択します。
「Technique Controls」の「scoring」アイコンを押して、任意のスコアを入力します。
「Layer Controls」の「layer settings]を押して「Name」を編集します。
同様に他のグループのレイヤーを作成します。以下では例としてTA505のグループを作成しています。
「Create Layer from other layers」を押します。
「domain」からフレームワークを選択して「score expression」に式を入力します。以下では「Enterprise ATT&CK v15」を選択して「a+b」を入力しています。
「Create layer」を押します。
2つのレイヤーを1つにまとめた新しいレイヤーが作成されることで、組織に関連する複数の脅威アクターの影響をより適切に視覚化できるようになります。
「Layer Controls」の「color setup」を押して、「presets」からカスタマイズできます。以下では例として「green to red」に変えることで、脅威アクターに関する色を赤に変更しています。
脅威アクターの行動について、TTPを基に関連付けするこのインテリジェンス主導のアプローチは、脅威ハンティングを行うための最善の方法の1つです。
本記事の例では、金融機関をターゲットとするTA505とFIN7グループを選択しています。2つのグループに共通するテクニックは、Ingress Tool Transferと、Data Encrypted for Impactであることが分かります。
おわりに
脅威ハンティングは、組織がセキュリティ体制を強化するために不可欠なアプローチです。
未知の脅威や高度な攻撃者の行動を早期に発見することができ、組織全体のセキュリティ防御力の向上やインシデント対応の迅速化、セキュリティ課題の特定に役立ちます。
参考
- CrowdStrike:サイバー脅威ハンティングとは?
- IBM:脅威ハンティングとは
- Microsoft:サイバー脅威ハンティングとは?
- Rapid7:脅威ハンティング
- サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説
- 日本も狙うサイバー犯罪集団「TA505」の新たな攻撃手法を解説