スレットハンティングについて 知っておきたいこと 2024年7⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 理事 ⻑⾕川達也 2024年7⽉20⽇（⼟） 14:00-14:50

はじめに • セキュリティリサーチ（SR）分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット＆エンジニアリング • ディスカッション（交流）で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください

アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する（背景 → ⽬的 → ⼿段） • スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿ΍ײ૝」

アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する（背景 → ⽬的 → ⼿段） • スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿ΍ײ૝」

はじめに、スレットハンティングとその関連⽤語について • スレットハンティング vs 脅威ハンティング • 同じ概念を表す⽤語で、基本的に相違なし (Threat Huntingをどう⽇本語訳するかの問題) • 昨年末のGoogle検索のヒット数 「スレットハンティング」2万3000件 <<「脅威ハンティング」23万件 と約10倍の乖離 • 脅威を英訳すると、threat, menace, (danger) • 脅威インテリジェンス、脅威モニタリングとの違い • 脅威インテリジェンスは、スレットハンティングの仮説⽴案に⽤いる種となる • 脅威モニタリングは、持続的なスレットハンティングの⼿段の⼀つ • 特化型︓〇〇スレットハンティング • データソース、分析⼿法、⽬的ごとに派⽣が多数あり • APIスレットハンティング、IoTスレットハンティング、クラウドスレットハンティング、メールスレットハンティング、脆弱性ス レットハンティング • 検知 vs 検出 • 広辞苑より「検知」︓検査して知ること => 定期検査、異常があってもなくてもよい => モニタリング • 広辞苑より「検出」︓検査して⾒つけ出すこと => 異常を⾃分から探し出すアプローチ => ハンティング

スレットハンティングを理解する 背景 ~ サイバー攻撃・犯罪の⾼度化と攻撃対象領域の増加 ~ 既製品では検知できない、侵⼊・流出をすべて⽌められない 背景 ⽬的 ⼿段

IDS/IPS UTM スレットハンティングの背景 サイバー攻撃・犯罪の⾼度化 • 2010 ~ 情報窃取を⽬的とする標的型攻撃 • 2015 ~ ⾝代⾦を⽬的とするランサムウェア攻撃 • 2020 ~ 両⽅を駆使する⼆重脅迫攻撃 • 攻撃者の役割分担、組織化、エコシステム • 内部不正 攻撃対象領域 (Attack Surface)の増加 • 企業のクラウドサービス利⽤とその脆弱性管理 • リモートワークによるVPN利⽤とその脆弱性管理 • グループ会社や取引先などを⾜がかりにするサプ ライチェーン攻撃 • IoT機器への攻撃 既製品では”すべて”を検知できない、侵⼊・流出を”すべて”⽌めることができない アンチウイ ルスソフト フィッシング 対策ソフト URLフィルタ リング製品 資産管理 ソフト 次世代アン チウイルス (NGAV) セキュア ゲート ウェイ CASB/CWPP/ SASE DLP ※既製品：本発表では、チューニングもカスタマイズもしておらず攻撃者にでも容易に検知設定を再現できる製品またはオープンソースソフトウェアを指します EDR

スレットハンティングを理解する ⽬的 ~ 検知できていないかもしれない脅威を探し、迅速に対応する ~ 結果的に、被害を最⼩限に抑えるため ⽬的 ⼿段

スレットハンティングの⽬的 既製品では”すべて”の脅威を検知できない 恐れ（可能性）があるから 積極的に脅威を探し出し、被害やリスクが広がる前に迅速に対応する 探しに⾏ったところで脅威なんてないかもしれない😊 特段報告すべきリスクが何も⾒つからないときもある😞 同じ分析視点でもタイミング（時期）が違えば、新たな発⾒があるため スレットハンティングは⽇々の運⽤に組み込むべき ワンショットや定期的なペネトレーションテストやセキュリティアセスメントとの違いであり、 被害を最⼩化するためには、脅威を発⾒したら迅速に対応する必要があるため

スレットハンティングをする役務者 • ⾃社の内部SOCのアナリスト（常時） • ⾃社のCSIRTメンバー（平時） • 外部SOCのアナリスト (常時?) • 外部のスレットハンター (サービス契約や準委任契約) • 外部のフォレンジックアナリスト 何か脅威を”検知”してから、 「トリアージ」や「フォレンジック」として脅威を探し出すことは、 ⼀般的には、受動的なインシデント対応であり、 能動的なスレットハンティングではない。 という整理になってます。実際にやっていることは類似しています。

役務者の⽴ち位置によるスレットハンティング上のメリデメ ターゲットの環境を 把握しやすい （正常理解😊） 世の中の流⾏を把 握しずらい （攻撃理解😞） ⾃社内部メンバー 外部メンバー 世の中の流⾏を把握し やすい （攻撃理解😊） ターゲットの環境 を把握しずらい （正常理解😞） 両⽅の知識が重要

スレットハンティングを理解する ⼿段 ~ 仮説と検証に基づいて検出ルールを作成し、データ分析する ~ なんだ、その⼿法は既に多くの組織でやってますぜ︕ ⼿段

スレットハンティングの⼿段 分析アプローチ (How) 1. 脅威インテリジェンスからの仮説 (Intelligence-Driven Hypotheses) • 既存の攻撃⼿法、悪性との類似 2. ターゲット環境の変化による気づきの仮説 (Situational-Awareness Hypotheses) • ベースライン、正常からの逸脱 3. ドメイン専⾨家による仮説 (Domain Expertise Hypotheses) • ハンターの過去の経験に基づくもの。⽂書化して情報共有が難しい。認知バイアスもあるが貴重な資源。 SANS “Generating Hypotheses for Successful Threat Hunting” 2016 https://www.sans.org/white-papers/37172/ より 分析対象 (Where from) • 製品、サーバーや端末のイベントログ • 通信パケットのデータ ⼀般的にやっていることは、データマイニング寄りの「ログ分析」 SIEMなどに⼀箇所にデータが揃っていると⽐較的分析しやすいが、必須ではない

主要なスレットハンティングのフレームワーク • Sqrrl: 脅威ハンティング参照モデル (2015) • The Sqrrl Threat Hunting Reference Model (by Sqrrl) • https://www.threathunting.net/sqrrl-archive • TaHiTI: 脅威インテリジェンスを統合した標的型狩猟 (2018) • Targeted Hunting Integrating Threat Intelligence (by Dutch Payments Association) • https://www.betaalvereniging.nl/en/safety/tahiti/ • PEAK: 知識を持って 準備、実⾏、⾏動 (2023) • Prepare, Execute, and Act with Knowledge (by Splunk) • https://www.splunk.com/en_us/pdfs/gated/ebooks/splunk-peak-threat-hunting-framework.pdf 他、類似 SANS Institute: A Practical Model for Conducting Cyber Threat Hunting (2018) https://www.sans.org/white-papers/38710/ • 仮説ドリブン • ベースライン(別名︓探査的データ分析(EDA)) • モデル⽀援脅威ハンティング(M-ATH) M-ATHとは︖ 機械学習を使って、既知の正常な動作または既知の悪質な動作を表すモデルを作成し、 そのモデルと乖離または⼀致するアクティビティを検出。 仮説ドリブンとベースラインを組み合わせたものに近いが機械学習により⼤部分が⾃ 動化されるのがメリット︕

(参考) スレットハンティングとAI # SANS Threat Hunting Survey 2024 の Q&Aより AI が⼈間のスレットハンターの必要性に取って代わると思いますか? -- デビッド・J・ビアンコ (先述のSqurrlとPEAKの作者) 私は常に、スレットハンティングを「⾃動検知システムが⾒逃したセキュリティインシデントを⾒つけるために使⽤される⼿動または半 ⾃動のプロセス」と定義してきました。 その基準によれば、スレットハンティングを⾃動化することは不可能です。なぜなら、それは単 なる「検知」だからです。 デビッド・J・ビアンコ (先述のSqurrlとPEAKの作者) もっと有益な話として、現時点の AI は実際に独⾃のアプローチを考え出すことも、新しい問題を創造的に解決することもできないため、 答えはまだ「ノー」であるとも⾔えます。 これはトレーニング データに束縛されているため、私たちがすでにやり⽅を知っていること を実⾏するのに⾮常に優れています (ただし、おそらく、より速く、より適切に、またはより少ない⼈間の⼊⼒で実⾏できるでしょう)。 しかし、スレットハンティングのイノベーションを推進する創造的な⽕花を提供してくれる⼈材は常に必要です。

スレットハンティングの課題と第⼀歩

スレットハンティングの課題 1. ハンティングスコープの設定の難しさ • 重点的に守りたい領域や侵⼊リスクの⾼い箇所を特定し、調査・分析の範囲を適切に絞る 2. 時間とリソースの消費についての許容の難しさ • 結果が伴わないかもしれない分析への稼働とシステムリソースの影響を嫌がってしまう 3. 誤検出を許容してくれる報告ラインを確⽴する難しさ • 誤検出は必然的に出るもので⾃社環境についての知⾒を蓄積できたとポジティブに考えられるかが重要 • ハンターがこの程度で報告するのはやめようと判断してしまうと取り組み価値が下がる可能性がある 4. プライバシーとコンプライアンスの問題 • 場合により詳細な調査を⾏う過程で、機密データにアクセスしてしまう可能性がある 5. 外部専⾨家への依存 • 組織内にスキルやナレッジが蓄積されにくく、また外部の専⾨家は必ずしも組織の内部事情やシステム 構成に精通しているとは限らないため、調査・分析の範囲に制約が出る可能性があること • 外部に丸投げではなく、⾃組織のアナリスト要員の教育を含めてカバーなどでナレッジを蓄積したい

スレットハンティングの第⼀歩 準備 • 既製品によるセキュリティ対策 • 各種ログの取得 • サーバーへのアクセスログやアプリログ • Webプロキシなどゲートウェイのログ • エンドポイント端末のイベントログ • クラウドサービスの監査ログ • ログの中央管理 • ハンターの稼働確保 • ハンティングサービスの契約 第⼀歩 • OSINTで集めてきた攻撃の痕跡情報(IoC)にてログをスキャンしてみる など 組織の規模、リソース、セキュリティ成熟度に応じて、 段階的にスレットハンティングを導⼊していくことが重要 参考: Sqrrl社によるスレットハンティングの成熟度モデル (2015) Level 0 ~ Level4 https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model-6d506faa8ad5 (Sqrrl社: 2018年にAmazonに買収されたアメリカのセキュリティ企業)

参考資料リスト • ブログ/発表 – https://www.nic.ad.jp/ja/materials/iw/2019/proceedings/d2/d2-3-ishikawa-2.pdf – https://www.scientia-security.org/entry/2019/03/16/090936 – https://www.scientia-security.org/entry/2017/01/14/164633 – https://www.scientia-security.org/entry/2017/01/15/112601 – https://mag.executive.itmedia.co.jp/executive/articles/2208/24/news007.html – https://scan.netsecurity.ne.jp/article/2019/02/06/41929.html – https://japan.zdnet.com/article/35205602/ – https://techcommunity.microsoft.com/t5/microsoft-security-experts-blog/good- ual-hunting/ba-p/3718421 – https://insights.sei.cmu.edu/library/threat-hunting-for-lateral-movement/ – https://www.tylertech.com/services/ndiscovery/nDiscovery-Threat-Hunting.pdf – https://hodigital.blog.gov.uk/wp-content/uploads/sites/161/2020/03/Detecting- the-Unknown-A-Guide-to-Threat-Hunting-v2.0.pdf – https://www.itu.int/en/ITU-D/Cybersecurity/Documents/CyberDrill- 2020/Cyber%20Threat%20Hunting%20Workshop%20- %20ITU%2019112020.pdf – https://www.akamai.com/ja/glossary/what-is-api-threat-hunting – https://www.forbes.com/sites/forbestechcouncil/2023/06/29/vulnerability- hunting-threat-huntings-cybersecurity-cousin/ – https://www.threathunting.net/sqrrl-archive – https://www.betaalvereniging.nl/en/safety/tahiti/ – https://www.splunk.com/en_us/pdfs/gated/ebooks/splunk-peak-threat-hunting- framework.pdf – https://medium.com/@sqrrldata/the-cyber-hunting-maturity-model- 6d506faa8ad5 書籍 https://gihyo.jp/book/2022/978-4-297-12457-1 https://www.oreilly.com/library/view/threat-hunting/9781492028260/ https://www.packtpub.com/product/practical-threat-intelligence-and- data-driven-threat-hunting/9781838556372 ホワイトペーパー https://www.sans.org/white-papers/38710/ https://www.sans.org/white-papers/37172/ ハンティングルールのレポジトリ (⼀例) https://www.threathunting.net https://github.com/threat-hunting/awesome_Threat-Hunting

アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する（背景 → ⽬的 → ⼿段） • スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿ΍ײ૝」

脅威検出ハンズオン 事前説明

「Threat Hunting Baby Steps 」の Webサービス外観

「Threat Hunting Baby Steps」のWebサービス環境 • 今回のハンズオン課題としてWebアクセスログ(Apache Access combined形式)が 1,000イベント⾏あります • このうち、〇〇個のイベントが攻撃または通常ではないアクセスの可能性があります。 • この⽣成AI (主にChatGPT-4oとPerplexity)にてベース開発した「Apache Access Log Viewer」によって分析してスレットハンティングしてください • ハンティング結果の回答⼿順 1. これは怪しい︕という⾏を選択してください。複数選択も可能です。 2. Submitボタンを押して、回答を送信してください。 • お助けユーティリティ機能がいくつかあるので、次のスライドでご紹介します。 留意︓⼀部アプリケーションのバグが残っているかもしれません、⾒つけたら分科会Slackでご報告いただけますと幸いです。

お助けユーティリティ機能︓ 集約(stats)

お助けユーティリティ機能︓ 既に回答済の除外 • すでに回答して正解した⾏番号を[1,2,3]のようにリストで渡しておくと、再度チェッ クボックスを選択しなくてもよくなります。 • このリストを修正する場合は修正前にF5ページリロードをしてください。 • またブラウザーの「戻る」で戻ってきた場合は、再度「回答済み、表⽰除外」をクリッ クしてください。

お助けユーティリティ機能︓⽂字列検索と選択件数の表⽰ ☞ Search窓にて⽂字列検索 ができます。ヒットした⾏ のみにフィルターされます。 ☞ 選択すると⻩⾊にハイラ イトされます。またSubmit ボタンの横に現在の選択件 数が表⽰されます。

「Submit」ボタンを押すと正答率に応じて画像が表⽰されます︕ 100%🎉⽬指して頑張ってください︕ 末尾にヒントあり︕ 出典: (Bing AI) がんばってくださいと応援するかわいい猫のイラスト 講師が開発し た即興AIは ４秒で 正答率90%🎉 にゃん AIに勝てるか、勝負 👊︕

脅威検出ハンズオン 解説スライドございません 後ほど分科会Slack上でのみ解答を公開します。

アジェンダ 1. 20分 リサーチ報告 • スレットハンティングを理解する（背景 → ⽬的 → ⼿段） • スレットハンティングの課題と第⼀歩 2. 15分 脅威検出ハンズオン • Webアクセスログを題材にスレットハンティング体験 3. 最⼤15分 ディスカッション(交流) • テーマ「ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿ΍ײ૝」

ディスカッションテーマ ϋϯζΦϯ Threat Hunting Baby Steps ʹ͍ͭͯͷਐḿ΍ײ૝ 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackチャットに書き込む形で交流してみましょう。 例︓正答率 何パーセントまでできた など このイベント（⾏番号）の攻撃は〇〇ですよねー。など

次回のSR分科会は「2024年10⽉19⽇（⼟）」 SR分科会へのご参加ありがとうございました。 次回の詳細情報は、Slackで別途ご連絡します。 次回は、LT⼤会です。SR分科会を初めて1年経ちまして、 私も何か調べて話してみたいという⽅、セキュリティをテーマに⾃由に アウトプットしましょう︕ 現地会場は「名古屋市市⺠活動推進センター集会室＠栄駅」で Zoomとのハイブリッド開催です

No content