ESET/マルウェア情報局
脅威を発見する「スレットハンティング」を解説
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「脅威を見つけ出すスレットハンティングとは?」を再編集したものです。
スレットハンティングとは?
スレットハンティングとは、ネットワーク内に侵入した高度なマルウェアを積極的に検知・駆除する取り組みのことを指す。スレット(脅威)とハンティング(狩る)を合わせた用語である。
従来のウイルス対策ソフトでは、未知の脆弱性を突くゼロデイ攻撃や検出回避の技術を持つマルウェアの検知が難しいという課題があった。加えて最近のマルウェアの傾向として、他のマルウェア侵入を助けるバックドアを設置するもの、侵入後に目的達成のため長期間潜伏するもの、ログを改ざんして検知回避を狙うもの、といったようにネットワークレベルでの予防的対策では対応が難しいものが増えてきている。そのため、マルウェアに侵入された後でもできるだけ早く検知し、被害を最小限に抑えるための手法が必要とされてきているのだ。
ネットワーク内の端末が既にマルウェアに感染していることを前提に、調査を行うのがスレットハンティングの考え方だ。ウイルス対策ソフトなどのセキュリティ製品から報じられるアラートを見てから受動的に対処するのではなく、能動的に脅威を発見するよう取り組むのが特徴と言える。あらかじめマルウェアの侵入リスクが高そうな箇所や、優先してサイバー攻撃から守りたい箇所を中心に調査する。
スレットハンティングは自動化されたシステムによる調査と、専門家など人手による調査を組み合わせて実施される。専門家は、そのサイバー攻撃に関する知識や経験をもとに「重点的に守りたい領域」、「サイバー攻撃の兆候が表れる領域」について仮説を立て、脅威の検出を試みる。一方、システムによる調査の場合、機械学習を活用して膨大なログから異常な動きを検出する。ネットワーク上を流れるパケットなどを分析し、過去に発生がないパターンを特定して、脅威の発見につなげる。
スレットハンティングの取り組みを効果的に運用するには、取得するべきデータの質と量、分析や可視化のスキルなど、いくつかの要因が考えられる。スレットハンティングを導入するにあたり、2018年にSqrrl社(現在はアマゾン社に買収)が定義した、スレットハンティングの取組に関する5段階の成熟度モデルが参考になる。各段階の定義は以下のとおりである。
・レベル0(初期):ウイルス対策ソフトの自動アラートに依存。定期的なログ・データの収集を実施していない。
・レベル1(最低限):脅威の調査やログ・データの収集を実施している。
・レベル2(手続き化):他社が開発した新しい脅威検知の手法を学習・適用している。
・レベル3(活用):自社で脅威を検知する機械学習や可視化の仕組みを開発している。
・レベル4(先進的):レベル3の仕組みを自動化し、運用している。
多くの企業では、スレットハンティングのサービスを活用しながら、レベル2を目指すのが現実的だと考えられる。レベル3以上に該当するスレットハンティングの仕組みを自社内で構築するのは極めて難易度が高く、専門のパートナーに依頼をするというのが実際のところだろう。
スレットハンティングとEDRの違い
巧妙化するサイバー攻撃に対し、予防だけでは対処できない現状を踏まえて検知の手法を充実化させるように潮流が変わりつつある。そこで、エンドポイントでの検知を推進するEDR(Endpoint Detection and Response)にも注目が集まっている。
記事リンク:EDRとは?エンドポイントセキュリティに求められる侵入検知と対応
https://eset-info.canon-its.jp/malware_info/special/detail/200206.html
EDRでは、コンピューターやモバイル端末といったエンドポイントに着目し、通信ログの収集をはじめ、レジストリ書き換えの検知、メモリダンプの情報を取得するなど、広く兆候を集めて異常を検知する。マルウェアが侵入した場合でも、被害の発生を抑えるよう、不正な挙動を検知し、感染後は端末を隔離するといった対処を迅速に進める方法だ。すなわち、EDRは現実的にマルウェアの侵入や感染を完全に回避できないという現実を踏まえ、検知後の対応を迅速化することに主眼が置かれている。
EDRもスレットハンティングも脅威を発見し、迅速な対処を目指す点は共通している。しかし、EDRはシステムによる受動的なアラートを利用しているのに対し、スレットハンティングは積極的に脅威を発見すべく、システムと人を組み合わせた能動的な取り組みである点が大きく異なる。
スレットハンティングとペネトレーションテストの違い
サイバー攻撃の脅威を発見する手法のひとつとしてよく知られているのがペネトレーションテストだ。この手法では、特定の情報を狙う攻撃者が攻撃に成功するかどうかを検証することができる。ソーシャルエンジニアリングを含めたあらゆる手法を使い、リスクの高い領域から検証していくことが特徴だ。一方で、脆弱性の有無を検証するにあたって、網羅性を保証するものではなく、一度のペネトレーションテストでは特定の範囲のみを対象とする。
能動的に脅威を発見するという点において、スレットハンティングとペネトレーションテストには共通点があるため、その違いはわかりづらいところがあるのは否めない。両者の違いのひとつとして、ペネトレーションテストは外部からの侵入を検証する手法であり、スレットハンティングはネットワーク内部に侵入されたケースを前提に脅威を発見する方法だということが挙げられる。
スレットハンティングのメリットと課題
スレットハンティングの主なメリットは、ネットワーク内にある既存の脅威を見つけ出す点にある。これまではマルウェアに侵入されていないと思っていた場合でも、スレットハンティングを実施することで、より的確にネットワークの状況を把握できるようになる。また、合わせて潜在的なセキュリティ上の問題も特定できるため、必要な対策を講じることができるようになるのもメリットのひとつだ。
スレットハンティングの課題としては、基本的なセキュリティ対策なしには、すぐに導入できない点が挙げられる。例えば、ログの収集・保存のためのシステム導入が適切にされていなければ、必要な解析が行なえないため、スレットハンティングは実施できない。また、ウイルス対策ソフトから自動アラートを受けた際の対応など、一連のプロセスが整備されていることが、スレットハンティングを導入する上での前提となる。発見された脅威について、深刻度や発生可能性に応じて適切な対策がとれるセキュリティ人材も必要になるだろう。
高度なマルウェアに対策を講じる手段はさまざまあるが、その目的に応じて最適なものを選択するようにしたい。これまでセキュリティ対策を十分に行なってこなかった企業は、まずは網羅的にセキュリティの不備を検知する脆弱性スキャンによって基礎的な事項を確認するべきだろう。そして、スレットハンティング、EDR、ペネトレーションテストといった高度な施策へ進む戦略が推奨される。まずは基礎的なセキュリティ対策を固めることで、より堅牢なネットワーク環境の構築へと進むことができる。
スレットハンティングはサービスとして提供されているため、その活用を視野に入れることも一考の余地があるだろう。例えば、キヤノンITソリューションズでは、RSA NetWitnessを活用した、スレットハンティングサービスを提供している。専門知識をもったアナリストがネットワーク上を流れるパケットを分析し、正規のサービスであったとしても通常時とは異なる振舞いをしていないか、一般的なセキュリ対策製品の検出アルゴリズムを回避する攻撃が行なわれていないか、など様々な視点で検査する。自社として用意するにはハードルが高い、セキュリティの専門家による脅威を可視化し、採るべき対策を提案するサービスとなっている。
今後もサイバー攻撃の活動はより巧妙化、高度化が続くことがほぼ確実視されている。そのような状況下での安全性を高めるためにも、自社内での完結にこだわらず、柔軟に外部サービスを取り入れていく時代が来ているのではないだろうか。