本連載のテーマは、「脅威ハンティング」です。これは、セキュリティ運用における比較的新しい取り組みで、ランサムウェアをはじめとする高度なサイバー攻撃に晒される昨今の組織の被害防止に一石を投じるアプローチです。米国標準技術研究所(NIST)の文書で言及されるなど、近年その有効性の認知が広がっています。
現在の組織のセキュリティ運用は、インシデントレスポンス(IR)が中心で、日々何かしらのインシデントが起きていないかシステムを見張り、何かあれば、レスポンス(対応)を行います。インシデントは、和訳すれば「事件」ですので、IRは事件が起きてから調査して対策するという事後対応的な考え方と言えます。
IRに対して脅威ハンティング(Threat Hunting=日本語では「スレットハンティング」と表記されることもある)とは、その名の通り、脅威が事件化する前に「ハンティング=狩りに行く」という考え方です。つまり、事前の調査を定常化し、被害を未然に防ぐという一連の手続きをセキュリティの運用に組み込みます。
インシデントを未然に防ぐための運用手法には、ペネトレーションテスト(擬似攻撃などの方法を用いた不正侵入に対するシステムの耐性検査)やセキュリティアセスメントなどもありますが、これらは日々の運用に組み込まれているものでは無いので、今回の観点とは少し異なります。
この脅威ハンティングが注目されている背景にあるのは、昨今のサイバー攻撃の高度化です。顕在化した時点では被害を止められないという現状が起因しています。
サイバー攻撃の高度化と攻撃対象領域の増加
2010年代以降、組織ぐるみのサイバー犯罪による大規模な情報窃取と流出などが頻繁にメディアを賑わすようになりました。これによって企業や政府など組織における最大の脅威は標的型攻撃となり、その後2020年代には、ランサムウェアの被害(ここでいうランサムウェアはサーバーを標的とする侵入型ランサムウェアを指す)も加わりました。情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威」を見ると、2021~2023年はランサムウェアによる被害、その前の2016~2020年は、標的型攻撃による被害が最大の脅威とされています。
標的型攻撃やランサムウェアは、どちらも複数の攻撃技術とツールを組み合わせて、組織の業務ネットワークに侵入し、ネットワーク内を横移動(ラテラルムーブメント)して侵害範囲を広げ、最終的に目当てのデータの窃取や暗号化を実施します。その侵入の手口には、例えばフィッシング、VPNの仕組みの脆弱(ぜいじゃく)性を狙った攻撃、ゼロデイの脆弱性(修正方法が無い状態の脆弱性)の悪用、取引先などのシステムを経由(踏み台に)するサプライチェーン攻撃といった、高度な手法が複数組み合わされています。
このような攻撃の対象となり得る部分のことを「攻撃対象領域(Attack surface)」と呼びます。昨今はこの領域の増大によって、以前には「検知して初期侵入を止めることができる」と考えられていたサイバー攻撃が「侵入を完全には止めることはできない」という前提に立つ必要が出てきました。