背景・課題
アラートが出ていないから、安全とは限りません。
EDRやSIEMによる監視は重要ですが、攻撃者は検知ロジックを回避しながら活動しています。
SOCによるアラート対応だけでは把握できない潜在的な脅威を発見するため、能動的な脅威ハンティングが求められています。
① 検知を回避する「静かな攻撃」が増加
攻撃者は正規ツールや既存アカウントを悪用し、不審な挙動を極力目立たせずに活動します。
侵害後も長期間発見されないケースがあり、アラートが発報される頃には被害が拡大していることも少なくありません。
② 新たな攻撃手法は既存ルールでは検知できない
攻撃手法は日々変化しており、新たなマルウェアや難読化されたスクリプト、正規機能を悪用する攻撃はシグネチャや既存ルールに依存した検知をすり抜ける場合があります。
そのため、「既知の脅威を待つ」だけではなく、ログや挙動から異常の兆候を探し出す活動が必要です。
③ アラート対応だけでは潜在リスクを把握できない
SOCによるアラート分析は発生した事象への対応が中心です。
しかし、製品の検知ルールは誤検知抑制のため保守的に設計されており、すべての脅威を検知できるわけではありません。
組織全体のリスクを低減するためには、ログを横断的に分析し、攻撃の痕跡や不審な活動を能動的に探索する仕組みが不可欠です。
参考情報
57%
侵害の57%は自組織ではなく外部からの指摘で発覚
このデータが示すこと
多くの企業では、EDRやSIEMを導入していても侵害を見逃しており、顧客・取引先・法執行機関からの連絡によって初めて被害に気付いています。
この状況を放置すると
侵害の発見が遅れることで、情報窃取やランサムウェア感染、横展開による被害が拡大する可能性があります。また、顧客や取引先からの指摘によって発覚した場合、事業影響だけでなく企業としての信用失墜にもつながります。
調査の詳細
- グローバルでのインシデント対応データを集計
- 外部通知には顧客クレーム、ダークウェブでの情報流出発見、法執行機関からの連絡等を含む
- 自社検知には、EDR/SIEM等のアラートによる発見を含む
出典Mandiant M-Trends 2025
48%
ランサムウェア被害の48%でEDRの無効化に成功
このデータが示すこと
EDRは重要な防御手段ですが、攻撃者もEDRの存在を前提に攻撃を設計しています。
この状況を放置すると
EDRが正常に機能していない状態でも組織が気付けず、攻撃者による認証情報の窃取、権限昇格、横展開などが進行する可能性があります。気付いた時には重要サーバーやクラウド環境まで侵害が拡大し、復旧コストや事業停止リスクが大きくなる恐れがあります。
調査の詳細
- 2024年のランサムウェアインシデントを分析
- EDRKillShifter、EDRSilencer等のツールが急速に普及
- Breakout Time(侵入から横展開までの時間)は平均48分に短縮
出典Infosecurity Magazine (2024)
サービス概要
脅威を待つのではなく、探しに行く。
SIEMのログ分析とダークウェブ監視により、アラートでは捉えられない潜在的な脅威を能動的に発見します。
クエリを用いたハンティング
アラートに表れない初期段階の異常挙動を能動的に探索します。認証ログ・権限変更・ネットワーク通信など複数データを横断分析し、偵察行動や不審なアクセスパターンなど"潜在的な脅威"を早期に可視化します。さらに最新の攻撃トレンド/脅威インテリジェンスを継続的に取り込み、探索観点とクエリを更新します。
ダークウェブ監視
メールアドレスやドメインがダークウェブ上で流通していないかを継続的に監視し、外部からの侵入に利用されるリスクを早期に検知します。漏洩情報の種類や公開状況、第三者への拡散可能性を評価し、資格情報の悪用・フィッシング・侵害連鎖につながる危険を事前に察知し対策に活かします。
月次レポート
1か月間のハンティング結果や検知傾向を体系的に整理し、組織が抱えるリスクの全体像をわかりやすくご報告します。加えて、翌月の重点監視ポイントや改善案を提示し、単なる振り返りにとどまらず、継続的に"検知力を高めるための運用改善"につなげるレポートを提供します。
分析対象
脅威の兆候は、さまざまなログに現れる
SIEMに蓄積された認証・端末・メール・ネットワークなどのログを横断的に分析し、侵害の兆候や不審な挙動を探索します。
以下に記載のないログについても、お客様環境に応じて柔軟に分析対象へ追加可能です。
サインインログ
不審なサインイン、異常なアクセス元、権限昇格などを分析し、アカウント侵害や内部不正の兆候を探索します。
SaaS 監査ログ
機密データへのアクセス、不審な共有設定変更などを分析し、情報漏洩や侵害後の活動を調査します。
Firewall / WAF ログ
異常な外部通信、C2通信、スキャン行為、不審な接続先との通信などを分析し、侵害端末や攻撃活動の痕跡を探索します。
XDR ログ
プロセス実行、PowerShell利用、権限昇格、永続化設定などを調査し、既存ルールでは検知されていない攻撃者の活動を探索します。
検知できる兆候の例
認証失敗の急増
- 短時間での複数回ログイン失敗
- 複数アカウントへの連続試行
- パスワードスプレー攻撃パターン
不審なスクリプト実行
- Base64エンコードされたコマンド
- 難読化されたスクリプト実行
- ダウンローダー型の挙動検知
管理者アカウント異常
- Global Admin権限の不正使用
- 新規管理者アカウント作成
- 権限昇格の試行検知
業務外時間帯アクセス
- 深夜帯(22時〜6時)の操作
- 休日の大量ファイルアクセス
- 通常パターンからの逸脱検知
海外からのアクセス
- リスク国からのログイン試行
- TOR/匿名VPN経由のアクセス
- あり得ない移動(Impossible Travel)
不正ツール実行兆候
- RMMツール(AnyDesk等)の検出
- ハッキングツールの起動検知
- ラテラルムーブメントの兆候
最新トレンドの反映
攻撃者は検知ルールを研究しながら攻撃手法を進化させています。
最新の脅威インテリジェンスを活用し、お客様環境に対するリスクを先回りして調査します。
攻撃キャンペーン調査
国内外の最新脅威を収集
検出ロジックを作成しクエリに反映
SIEMクエリをアップデート
毎月アップデート
最新型攻撃に継続対応
脅威インテリジェンスを活用することで実現できること
- アラート化されていない潜在的な脅威を発見
- 最新の攻撃手法・攻撃キャンペーンへの継続的な対応
- 侵害の早期発見による被害拡大の防止
- ハンティング結果を活用した検知ロジック・監視品質の継続的な向上
事例(Windows偽警告型サポート詐欺)
最近増加しているサポート詐欺では、正規ツールを悪用した遠隔操作が行われます。ハンティングでは以下のような複数の痕跡を組み合わせて調査を実施します。
- LogMeIn・AnyDesk・ScreenConnect等の実行
- PowerShellやWScriptの連続実行
- 外部C2通信の発生
- 通常と異なるユーザー操作パターン
ダークウェブモニタリング
漏洩した認証情報は、攻撃の入口になる
ダークウェブ上には漏洩したメールアドレスや認証情報が日々流通しています。
攻撃者はこれらの情報を悪用し、不正ログインやアカウント侵害を試みます。
当サービスでは、メールアドレスやドメイン情報をキーにダークウェブを継続的に監視し、自社に関連する認証情報の流出有無を調査します。
流出が確認された場合は影響やリスクを分析し、早期の対策につなげます。
メールアドレスの流出確認
社員のメールアドレスが漏洩DBに含まれていないか確認
ドメイン関連情報の流出確認
自社ドメインに関連する認証情報の漏洩をチェック
パスワード漏洩のチェック
漏洩した認証情報の悪用リスクを早期に把握