JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~ - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、注意喚起した環境寄生型のサイバー攻撃キャンペーン「Operation Blotless」への対抗策として、脅威ハンティング(Threat Hunting)を紹介した。サイバー攻撃キャンペーン「Operation Blotless」については「日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ | TECH+(テックプラス)」にて解説している。
環境寄生型のサイバー攻撃への有効な対策
JPCERT/CCは、環境寄生型のサイバー攻撃についてて、中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」の攻撃例を取り上げて解説している。JPCERT/CCによると、Volt Typhoonは標的への攻撃にボットネットおよび標的の環境内に存在するソフトウェアを使用して、短期間に情報窃取のみを行うとされる。
このため、被害環境には攻撃を識別するための情報がほとんど残らず、既知のデータに基づく防衛策が機能しない。また、攻撃者はボットネットを使用することで標的の近くのデバイスを攻撃元に使用できるため、IPアドレスおよび地域に基づいたアクセス制限は意味をなさない。
このような攻撃に対しては、セキュリティ侵害インジケーター(IoC: Indicator of Compromise)およびシグネチャを活用した従来の防衛策は機能しないと考えられる。そこで、JPCERT/CCはこのような攻撃への有効な対策として、脅威ハンティングを指南している。
脅威ハンティングの概要
脅威ハンティングは攻撃者特有の活動を検出して被害を軽減する防衛手法。戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)に基づいた検出や、普段とは異なるシステムおよびネットワークの動作や負荷を検出する。
脅威ハンティングを導入するには、正常時の活動を事前に把握しておく必要がある。通常は過去の多種多様なログからシステムの活動を分析するが、ログが足りない場合は新たに収集する必要がある。このログの収集は複数の部門間に渡ることがあるため、事前の調整が必要とされる。
JPCERT/CCは社内の関係者を納得させるため、Volt Typhoon対策だけを目的として脅威ハンティングを導入するのではなく、ランサムウェアおよび内部の不正操作を防止する目的も含めて導入を検討することを推奨している。