Varonisは最近、環境内のサーバーでCPUアクティビティの急増を観測した顧客を支援しました。デバイスの簡易的な調査により、進行中の高度な脅威アクターによる侵害が判明し、後にRansomHubの関係者によるものと特定されました。 その後48時間にわたり、当社チームは顧客と緊密に連携し、調査・ハンティング・封じ込め・脅威の修復を行い、ランサムウェア化を未然に防ぎました。 当社チームの高度な介入能力により、顧客のネットワークは業務停止ゼロで保護されました。インシデントがどのように始まったか、続きをご覧ください。 初期アクセス インシデントは、ユーザーが正規のブラウザーアップデートだと信じ込まされてファイルをダウンロード・実行したことから始まりました。実際には悪意のあるJavaScriptペイロードでした。 ユーザークリックによる悪意のあるペイロードの初回実行 ダウンロードにより、自動化された偵察と初期コマンド＆コントロール活動の連鎖が開始され、Active Directoryのユーザーやコンピューターの列挙、主要なローカルシステム情報の照会、メモリ内の認証情報の探索、その他さまざまな探索手法が実行されました。 数分以内に、永続化のための定期的なスケジュールタスクとしてセカンドステージのマルウェアが展開されました。その後、正規のPythonディストリビューションが%LOCALAPPDATA%ConnectedDevicesPlatformにダウンロードされ、攻撃者インフラとSOCKSプロキシとして機能する暗号化されたPythonスクリプトも配置され、企業ネットワークがインターネット経由で直接公開されました。 %LOCALAPPDATA%\ConnectedDevicesPlatformへの正規Pythonディストリビューションのダウンロード %LOCALAPPDATA%\ConnectedDevicesPlatformにあるPythonディストリビューションから追加パッケージをインストール 侵害されたエンドポイントへの永続化のためのスケジュールタスクのインストール 暗号化スクリプトは10層の多段階暗号化からなるアンパックルーチンで保護されており、各段階で次の層と他のコンポーネントが展開されました。 復号プロセスの各レベルには、アンパックを妨害するためのランダム化された変数名が使用されていました。さらに、各段階でVM検出、デバッグ検出、プロセストレース検出などの基本的なアンチ解析技術が実装されていました。 サイレント実行と多重自己アンパックを行うよう設計されたパック済みPythonマルウェアの一部 当社チームはこの特定バリアント用のアンパックルーチンを作成し、最終ペイロードを平文で取得できるようにしました。Varonisの顧客で支援が必要な場合は、IRチームまでご連絡ください。 最終ペイロードはSOCKSプロキシであり、攻撃者のエンドポイントと内部ネットワークインフラ間の通信を、侵害されたホストを中継点として可能にするものでした。 さらに、当社のフォレンジックチームは、この脅威アクターが$env:APPDATA\Microsoft\Signaturesに保存されたすべてのメール署名を操作し、末尾に悪意のある画像参照を埋め込んでいたことを確認しました。 メール署名の改ざん この種の変更はエンドユーザーには気付かれませんが、脆弱なクライアントに対してNTLM認証試行を誘発し、追加の認証情報窃取につながる可能性があります。 探索活動 エンドポイントの初期侵害後、攻撃者は即座に認証情報や権限昇格の機会を探し始めました。これには、RDPなどの認証情報を含む可能性のあるネットワーク共有のスキャンが含まれていました。下記の通り、OVPNファイル、KeePass Vault、その他の拡張子やファイル名には認証データが含まれていることがよくあります。 認証情報を含むファイルを探索するためにTAが起動したPowerShell 上記コマンドは、マルウェアによる自動偵察段階の一環として、デバイスに接続されたすべてのネットワーク共有に対して実行されました。さらに、脅威はChromeやEdgeのローカルステートデータベースを解析して、ブラウザに保存された認証情報の特定も試みました。下記スニペットは、Data Protection API（DPAPI）を用いて以下のファイルからブラウザ保存パスワードを復号しようとした例です： $env:LOCALAPPDATA\(Google|Microsoft)\(Chrome|Edge)\User Data\Default\Login Data $env:LOCALAPPDATA\(Google|Microsoft)\(Chrome|Edge)\\User Data\Local State DPAPIを悪用してブラウザ保存認証情報を抽出する脅威アクター 権限昇格 この時点で、脅威はネットワークトンネルを通じて環境への直接アクセスと、最初に侵害したデバイスの直接制御を得ていました。当社の分析では、攻撃者が初期侵害から約4時間後にドメイン管理者アカウントの制御を開始したことが判明しました。 ネットワーク全体で侵害デバイスを特定する探索活動に加え、どのように権限昇格が発生したかを調査し、設定ミスや脆弱な箇所の封じ込めを行いました。 初期侵害から約2時間後、この顧客のADFSアカウントが侵害されたワークステーションからリードオンリーのドメインコントローラーへ認証し、Elevated Tokenパラメータによって管理者権限を持っていたことが関連する4624認証イベントから確認されました。 管理者権限で確立された認証イベントのサンプル このログオンセッションにはSeTcbPrivilege権限も割り当てられており、これは付与されたユーザーが環境内の他の任意のユーザー（ドメイン管理者やSYSTEMを含む）を偽装できる危険な役割です。 侵害デバイス発の高権限割り当てによる不審なログイン活動 その直後、複数のドメイン管理者アカウントの悪用が観測されましたが、テレメトリが限定的だったため正確な昇格手法は特定できませんでした。 顧客のActive Directory環境を監査した結果、昇格の攻撃面となりうるいくつかの重要な問題が判明しました。 特に、証明書サービス（AD CS）の設定ミスがあり、ESC1による権限昇格が可能な状態でした。AD CSの設定ミスは極めて危険で、通常ユーザーでもほとんど抵抗なくドメイン管理者へ昇格できてしまいます。 脅威アクターはこれを認識し、設定ミスを悪用して複数の高権限アカウント（ドメイン管理者含む）へのアクセスを得たと考えられます。この通常ユーザーから管理者への急速な昇格は、悪意のあるファイルの初回クリックから4時間以内に発生しており、脅威検知時の即時対応の重要性を示しています。

With a 4M cybersecurity worker shortage, agentic AI helps SOCs move beyond triage, enabling proactive security once thought impossible.

現代の脅威ハンティングのためのデータ中心の基盤 サイバーセキュリティの分野では、AIが脅威ハンティングの未来だと言われています。しかし、実際にはほとんどのAIは片手を縛られた状態で動作しています。研究者たちは、AIモデルはそのデータパイプラインの質に依存すると主張しています。この原則は学術的な機械学習に限った話ではありません。サイバーセキュリティにも同様に強く当てはまります。AIや自動化、人による調査によって強化された脅威ハンティングも、その基盤となるデータインフラストラクチャの質以上に効果的になることはありません。 多くの場合、セキュリティチームは既存のデータレイク上にAIを構築したり、新しい検知モデルのチューニングに注力したりしますが、より根本的な問題、つまりデータそのものには手を付けていません。テレメトリがエンドポイント、クラウド、アイデンティティ、SaaS、コードリポジトリなど、分断されたシステムに分散されていると、アナリストは断片から文脈をつなぎ合わせるしかありません。すべてのデータを適切な変換なしに同じプラットフォームに投入すると、人間にもAIにも過剰な負担となります。どんなに高度なアルゴリズムでも、不完全または一貫性のないデータを克服することはできません。質の悪い入力で学習・動作するAIは、必ず質の悪い結論を導きます。人間主導でAIが補助する脅威ハンティングも例外ではありません。 統合データの重要性 統合され、相関付けられたデータプラットフォームは状況を一変させます。すべてのデータを一箇所に集約することでノイズが減り、個別のシステムでは見えなかったパターンを発見できるようになります。事前に変換・相関された情報は、大規模言語モデルや他のAIツールでも活用しやすくなります。構造や文脈を理解しようと計算リソースやトークンを浪費するのではなく（文脈が間違っていたり大きすぎたりすると結果が悪くなりがちです）、AIは実際の行動の理解に集中できるようになります。 統合データは、連携したアイデンティティの自然な把握も可能にします。1人のユーザーがAWSではIAMプリンシパル、GitHubではコミッター、Google Workspaceではドキュメント所有者として全く異なる名前で現れることもあります。どれか1つのシグナルだけを見ても、真実の一部しか分かりません。複数をまとめて見ることで、行動の全体像が明確になります。Google Workspaceから数十個のファイルをダウンロードする行為は単独では怪しく見えるかもしれませんが、同じアイデンティティがその直後にパブリックS3バケットを作成し、個人のノートPCに多数のリポジトリをクローンしていたら、その活動は明らかに悪意のあるものとなります。 相関による脅威ハンティング ログ、設定、コードリポジトリ、アイデンティティシステムのデータがすべて一箇所に集まると、従来は何時間もかかった、あるいは不可能だった相関が即座に可能になります。例えば、盗まれた短命な認証情報に依存するラテラルムーブメントは、検知までに複数のシステムを横断することがよくあります。侵害された開発者のノートPCは複数のIAMロールを引き受け、新しいインスタンスを立ち上げ、内部データベースにアクセスするかもしれません。エンドポイントのログはローカルの侵害を示しますが、IAMやネットワークデータがなければ侵害範囲を証明することはできません。 同様に、侵害されたGitHub Actionトークンを使ってクラウド上にシャドウ管理者アカウントを作成する攻撃者も、CI/CDログと設定・アイデンティティ変更を結びつけなければ見逃されてしまいます。また、過剰なOAuthスコープを持つサードパーティアプリが、侵害されたユーザーアカウントを通じてデータを流出させる場合も、統合されたSaaSアクセスログとOAuth同意履歴だけが真の経路を明らかにできます。 これらは抽象的な仮定ではありません。Salesloft/Driftの侵害事件では、攻撃者は最初に侵害されたGitHubアカウントからアクセスし、その後DriftのAWS環境でOAuthトークンを取得し、それを使って信頼されたDriftとSalesforceの連携を通じて数百の顧客環境にアクセスしました。各プラットフォームのログは個別には正常に見えたかもしれませんが、フォレンジックチームがGitHub、アイデンティティ、クラウド環境の活動を相関させて初めて全体像が明らかになりました。 忠実性と決定論 データパイプラインの質は、脅威ハンティングの忠実性を直接左右します。適切に構築されたデータパイプラインは、重複を減らしコストを抑えつつ、忠実性を損なうことがありません。AI駆動のシステムは、その忠実性に依存して確率的な推測ではなく決定論的な答えを出します。データ品質の向上は、どんなアーキテクチャの工夫よりもAIの性能に大きな影響を与えます。これは検知や対応にも同じことが言えます。 脅威ハンティングの本質は、正確な問いを立て、信頼できる答えを得ることです。接続された高忠実度のデータ基盤がなければ、すべてのクエリは不完全になります。現代のセキュリティアーキテクチャは、量よりも明確さを優先し、人間も機械も単一で正確な真実の情報源から運用できるようにしなければなりません。 戦略的ストレージとAI対応 脅威ハンティングプラットフォームは、どのデータをホットストレージとコールドストレージに保存するかについても戦略的であるべきです。すべてのログ、トレース、イベントが即座に検索可能である必要はありません。重要なのは、アイデンティティ変更、クラウド設定、ソース管理の高価値テレメトリがすぐにアクセスできることです。一方、過去のデータやシグナルの弱いデータは、より深いフォレンジック用途のために階層化して保存できます。ストレージ戦略が賢ければ賢いほど、アナリストやモデルは無駄なノイズに計算リソースやコストを浪費せず、迅速に対応できます。 データがすべて一箇所に集まっていれば、LLMの活用にも自然と対応しやすくなります。堅牢なデータパイプラインは、効果的なコンテキストエンジニアリングの一形態です。Anthropicのエンジニアたちが示したように、最良のAI成果は、適切なデータを適切なタイミングで、適切な文脈で、しかし過剰ではなく提供するプラットフォームから生まれます。モデルに構造化され関連性の高い情報セットを与えることで、問題解決に集中でき、不要な詳細に埋もれたり重要な事実が不足したりすることがなくなります。これは人間にも同じことが言えます。どんな優秀なアナリストでも、ノイズに圧倒されたり文脈が不足したりすれば効果を失います。データパイプラインが文脈の精度を意識して設計されていれば、AIによる脅威ハンティングは真にスケールします。 インサイトを優位性に変える 攻撃者の動きがかつてないほど速くなっている今、勝つ組織はリアルタイムで自社環境全体を見渡せるところです。AI対応の脅威ハンティング用データプラットフォームの構築は、単なる検知速度の問題ではありません。不確実性を理解に変えることが目的です。統合データは統合された視界を意味し、統合された視界こそが能動的防御の基盤です。データエンジンが忠実性・スケール・AI対応に最適化されていれば、脅威ハンティングはより鋭く、速く、正確になります。 翻訳元:

ReliaQuest report reveals Flax Typhoon attackers maintained year-long access to an ArcGIS system

中国のハッカーが新たな手法を用いて、信頼されたソフトウェアコンポーネントを持続的なバックドアに変えた方法が新しいレポートで明らかになり、セキュリティチームには積極的な脅威ハンティングの実施が求められています。 ReliaQuestは、このキャンペーンを「Flax Typhoon」APTグループの仕業とし、台湾の組織を標的としたような「精密かつ高い影響力」を持つ攻撃で知られる、国家支援の可能性が高いグループであるとしています。 レポートによると、攻撃者は正規のパブリック向けArcGIS（地理情報システム）アプリケーションを標的にしました。これは、組織が災害復旧、緊急管理、その他重要な機能のために空間データを管理するためのソフトウェアです。 「1度の侵害で中核業務が混乱し、攻撃者が後に悪用できるインフラの脆弱性などの機密データが露出し、相互接続された企業や運用技術（OT）ネットワークへの横展開の入り口となる可能性がある」とReliaQuestは述べています。 Flax Typhoonについてさらに読む：西側機関、中国が制御するボットネットのリスクを警告 初期侵入がどのように行われたかは不明です。しかし、レポートによれば、侵入後の活動はArcGISサーバーのJavaサーバーオブジェクト拡張（SOE）をウェブシェルとして動作するように改変することから始まりました。 APTグループは、バックエンド計算のためにプライベートな内部ArcGISサーバーと接続されたパブリック向けArcGISサーバーを意図的に選びました。彼らは次のような手順を踏みました： ポータル管理者アカウントを侵害し、悪意あるSOEを展開 標準のArcGIS拡張機能を使って悪意あるSOEを有効化し、REST操作を呼び出してパブリックポータル経由で内部サーバー上でコマンドを実行。これにより活動を隠蔽 「layer」パラメータにbase64エンコードされたペイロードを含む悪意あるGETウェブリクエストを送信 リクエストにハードコードされたキーを追加。これはウェブシェルを起動しコマンドを実行するために必要で、外部者によるアクセスの改ざんを防止 長期アクセスのために名前を変更したSoftEther VPN実行ファイルをアップロード。これにより内部ネットワークの一部であるかのように見せかけ、ネットワークレベルの監視を回避し、横展開や情報流出を可能に スキャンしたサブネット内のITスタッフが使用する2台のワークステーションを標的 警鐘 重要なのは、悪意あるSOEウェブシェルが被害者のバックアップに保存されていたため、修復やパッチ適用後も持続していたことです。 「この静かな足がかりがあれば、攻撃者は『手動操作』を行い、複数のホストで悪意あるコマンド実行、横展開、認証情報の収集が可能となった」とレポートは指摘しています。 「長期的な侵害を防ぐためには、IOCベースの検知を超えて、正規ツール内の異常な挙動を積極的に探索し、すべてのパブリック向けアプリケーションを潜在的な高リスク資産として扱う必要がある」と述べています。 このような形で悪意あるSOEが使われたのは初めてだったため、ArcGISは内部ドキュメントの更新を余儀なくされました。 「ベンダーが自社のセキュリティガイドラインを書き直さなければならない場合、それは顧客がすべてのパブリック向けツールを高リスク資産として扱うという誤った信念を証明している」とReliaQuestは述べています。 「この攻撃は警鐘です。バックエンドアクセスを持つあらゆるエントリーポイントは、どれほど日常的で信頼されていても、最優先事項として扱わなければなりません。」 翻訳元:

The UK’s National Cyber Security Centre has released new guidance to help firms improve observability and threat hunting

英国の組織は、サイバー脅威を検知する「国家的能力向上という重要な取り組み」において、可観測性と脅威ハンティングを改善しなければならないと、国家サイバーセキュリティセンター（NCSC）が促しています。 NCSCのCTOであるオリー・ホワイトハウス氏は、昨日のブログ投稿で、これらの分野において「依然として大きな能力の差がある」と述べました。 「可観測性と脅威ハンティングは、現代のサイバー防御の中核であり、相互に依存する要素です」と彼は付け加えました。 「これら両方の能力を成熟させることが、我が国のサイバー・レジリエンスを強化するために不可欠です。」 可観測性は効果的な脅威ハンティングの基盤であり、「見えないものは追跡できない」と彼は主張します。しかし、多くの組織はアカウントの活動、デバイス、ネットワーク、アプリケーション、クラウドサービスに対する包括的な可視性を持っていない可能性があります。シャドーITもこれらの取り組みを複雑にする場合があると、ホワイトハウス氏は述べています。 NCSCガイダンスの詳細はこちら：NCSC、英国重要インフラのレジリエンス強化のためサイバー評価フレームワークを更新 組織がすべての資産からデータを収集している場合でも、効果的な脅威ハンティングを行うために高度な分析を適用できないことが多いと、彼は付け加えました。 これらの課題に対処するため、NCSCはセキュリティチームに以下を推奨しています： ネットワーク、ホスト、デバイス、オンプレミスおよびクラウドサービスにまたがるシステムの可視性を最大化し、統合データセットを横断的にクエリできる能力を高めること テクノロジーベンダーに対し、監視と調査の向上を支援するシステム構築に関するNCSCガイダンスの遵守を促すこと 脅威ハンティングの成熟が求められる時 NCSCは脅威ハンティングを改善するためのいくつかのヒントも共有しています。組織に対して以下を推奨しています： IPアドレス、ドメイン名、ファイルハッシュなどの侵害指標（IOC）だけに頼らないこと。なぜなら、攻撃者はこれらのシグナルを迅速に変更または隠す技術（例えばLiving-off-the-land手法）を向上させているためです。 「攻撃者が何を使うか」だけでなく「どのように行動するか」を明らかにする戦術・技術・手順（TTP）の活用を進めること。そのためには、システム全体の包括的な可視性、検索や相関が可能なインフラ、攻撃者の行動や目的に基づいて「仮説を構築・検証できる」ネットワーク防御担当者が必要です。 「組織、またはサービス提供者は、IOCを取り込んで検知するだけでなく、TTPを消費・作成・共有・検知できる能力も脅威ハンティングにおいて持つべきです」とホワイトハウス氏は述べました。 「この二重のアプローチは、リアクティブ（受動的）およびプロアクティブ（能動的）なセキュリティ能力の両方を強化し、高度な敵対者に対する全体的なレジリエンスを向上させます。」 また、セキュリティ機関は、脅威ハンティングに苦戦している組織を支援するためにNCSC認定のインシデント対応プロバイダーリストや、より進んだ組織向けにアプローチの妥当性を検証するためのサイバー攻撃者シミュレーション（CyAS）スキームの活用も推奨しています。 翻訳元:

セキュリティリーダーたちは、アラートの増加やバーンアウトが限界に達する中、トリアージ、検知エンジニアリング、脅威ハンティングのためにAIを積極的に導入しています。 業界横断の企業に所属する282人のセキュリティリーダーを対象とした包括的な調査は、現代のセキュリティオペレーションセンター（SOC）が直面している厳しい現実を明らかにしています。アラートの量は持続不可能なレベルに達しており、チームは重要な脅威を調査できずに放置せざるを得なくなっています。完全なレポートはこちらからダウンロードできます。主に米国拠点の組織を対象としたこの調査によると、セキュリティオペレーションにおけるAIの導入は、実験的な段階から不可欠な存在へと変化しており、チームは増え続けるセキュリティアラートに対応するのに苦戦しています。 調査結果は、従来のSOCモデルが運用上の圧力に耐えきれなくなり、AI駆動のソリューションが今後の主要な道筋として浮上している、業界の転換点を示しています。 アラート量が限界点に到達# セキュリティチームはアラートの洪水に溺れており、組織は1日平均960件のアラートを処理しています。大企業ではさらに厳しく、平均30種類のアラート生成セキュリティツールから1日3,000件以上のアラートを扱っています。 この膨大な量は、セキュリティチームが極度の時間的プレッシャーの中で、どのアラートを検知・調査するかという難しい判断を迫られる、根本的な運用危機を生み出しています。調査によると、アラート疲労は単なる感情的な負担を超え、測定可能な運用リスクとなっています。 調査は依然として遅く手作業のまま# アラート処理の単純な数学が、問題の規模を浮き彫りにしています。調査結果によると、アラート1件を完全に調査するのに平均70分かかっており、誰かがそれに目を向ける時間を確保できた場合に限ります。調査によれば、アラートに対して誰かが行動を起こすまでに平均56分かかっています。この現実は、どのアラートに注意を向け、どれを無視するかという困難な選択を強いています。 この調査結果は、セキュリティオペレーションセンター（SOC）内の重大かつよく知られた課題を明確に示しています。すなわち、毎日生成されるアラートの膨大な量は、人間のアナリストが徹底的に調査できる能力をはるかに超えています。さらに、現代のセキュリティスタックやデータソースの数と複雑さは増し続けており、調査時間が長期化しています。 即時対応が求められる高優先度のインシデントにおいて、これらの時間的遅延は許容できないものであり、侵害の深刻度をさらに悪化させる可能性があります。最新のCrowdStrike サイバー脅威レポートによると、ビジネスメール詐欺（BEC）のようなサイバー脅威がインシデントに発展するまで、平均48分しかかかりません。 この圧倒的なアラートの流入は、SOCチームに対し、どのアラートに注意を向け、どれをやむを得ず無視するかという困難でしばしばリスクの高い選択を強いています。このような状況の結果、本物の脅威をノイズの中に見逃すリスクが高まり、最終的には組織のセキュリティ体制が損なわれます。 セキュリティアラートの40％は、量やリソースの制約によりまったく調査されていません。さらに憂慮すべきことに、セキュリティチームの61％が、後に重大なセキュリティインシデントであったことが判明したアラートを無視したと認めています。 この統計は、セキュリティ運用の根本的な崩壊を示しています。組織を守るために設計されたチームが、検知した脅威のほぼ半数を体系的に調査できていません。調査によると、これは怠慢ではなく、不可能な業務量へのやむを得ない適応であることが明らかになっています。 SOCチームは24時間365日の運用に苦戦# 調査は、24時間体制のセキュリティカバレッジにおける重大なギャップを明らかにしています。多くの組織は、効果的な24/7 SOC運用を維持するのに十分な人員を確保できておらず、少人数の夜間チームが、昼間のフルチームと同じアラート量を処理するため、脆弱な時間帯が生じています。 アナリストのバーンアウトは、単なる人事上の懸念ではなく、定量化可能な問題となっています。チームは、アラート量が手に負えなくなった際に、検知ルールを抑制することがデフォルトの対処法になっていると報告しています。この方法は即時の業務負荷を軽減しますが、セキュリティカバレッジに盲点を生み出す可能性があります。 人員の課題は、セキュリティ分析業務の専門性によってさらに深刻化しています。現在の雇用市場では、経験豊富なサイバーセキュリティ専門家が不足しており、組織はアラート量の増加に合わせてチームを容易に拡大できません。 AIは実験段階から戦略的優先事項へ# セキュリティ運用におけるAIは急速に優先順位を上げており、クラウドセキュリティやデータセキュリティなどの主要なセキュリティプログラムと並ぶトップ3の施策となっています。これは、セキュリティリーダーがAIを今日の運用成功のための重要な推進力と見なす根本的な変化を示しています。 現在、セキュリティチームの55％が、アラートのトリアージや調査ワークフローを支援するために、AIコパイロットやアシスタントを本番環境で導入しています。 次の導入の波もすぐに到来します。まだAIを使用していないチームのうち、60％が1年以内にAI駆動のSOCソリューションを評価する予定です。また、今後3年以内にすべてのSOC業務の60％がAIによって処理されると予想されています。 組織はAIに中核的な調査業務を期待# セキュリティチームは、AIが即効性を発揮できる分野を特定しています。トリアージが67％で最も多く、次いで検知チューニング（65％）、脅威ハンティング（64％）が続きます。 これらの優先事項は、調査の初期段階や有意義なアラートの抽出、初期コンテキストの提供、反復的な分析の自動化など、AIを活用したいというニーズの高まりを反映しています。人間の判断を自動化するのではなく、ワークフローを加速し、人間の集中力を高めることが目的です。 障壁は残るが勢いは明らか# 強い導入意欲がある一方で、セキュリティリーダーはAI導入における重要な障壁も指摘しています。データプライバシーへの懸念、統合の複雑さ、説明責任（説明可能性）の要件が、組織のためらいの上位に挙げられています。 未来のSOCが形作られる# 調査データは、AIが日常的な分析業務を担い、人間のアナリストが複雑な調査や戦略的意思決定に注力するハイブリッド型セキュリティ運用への明確な道筋を示しています。この進化は、アラート量の問題とアナリストのバーンアウトの両方を同時に解決する可能性を秘めています。 この変革の成功指標は、運用効率の向上に集約されるでしょう。組織は、従来のアラートクローズ率に加え、調査までの平均時間（MTTI）や対応までの平均時間（MTTR）の短縮で進捗を測定するようになるでしょう。その他にも、AIによるSOCアナリストのスキルアップや育成、立ち上げ期間の大幅短縮なども重要な成功指標となります。 AIによるアラートカバレッジの拡充により、組織は現在アラート量によって強いられているリスク許容度を下げることができます。未来のSOCは、より多くのアラートをより徹底的に調査しつつ、人間のアナリストの手作業を減らすことができるでしょう。 Prophet Securityが顧客を支援する方法# Prophet Securityは、エージェント型AI SOCプラットフォームにより、手作業の調査やアラート疲労から組織を解放します。トリアージを自動化し、調査を加速し、すべてのアラートに適切な注意を払うことを可能にします。既存のスタック全体と統合することで、Prophet AIはアナリストの効率を高め、インシデントの滞留時間を短縮し、より一貫したセキュリティ成果をもたらします。セキュリティリーダーは、Prophet AIを活用して人材とツールの価値を最大化し、セキュリティ体制を強化し、日々のSOC運用を測定可能なビジネス成果へと変換しています。詳細はProphet Securityをご覧いただくか、デモをリクエストして、Prophet AIがどのようにSOC運用を向上させるかをご確認ください。 翻訳元:

In today’s complex threat landscape, adversaries increasingly favor “malware-less” intrusion methods that slip past traditional defenses.

出典：Daniren（Alamy Stock Photo経由） 国家支援を受けたロシアの脅威アクターが、2025年のモルドバ選挙を広範囲な偽情報キャンペーンで標的にしており、その背後にいる脅威アクターは以前からモスクワと関係がある。 脅威ハンティングベンダーのSilent Pushは、Storm-1679（別名Matryoshka）として追跡されている脅威アクターに関する調査を9月23日に発表した。Silent Pushの調査は、今月初めに発表されたRecorded Futureの分析を基にしており、ロシアが偽情報を使ってモルドバの9月28日の議会選挙を妨害し、同国のEU加盟の取り組みを阻止しようとしている方法を説明している。 このキャンペーンは一般的に、現モルドバ政権や同国のEU加盟の可能性に否定的なバイアスを持つ記事や、現政権に関する虚偽の見出しを含むニュースサイトという形で展開されている。 モルドバ偽情報とロシアのつながりを解明 一方で、Recorded Futureの調査がキャンペーンの政治的影響に焦点を当てていたのに対し、Silent Pushの研究者はより技術的な観点から追跡した。例えば、このキャンペーンに関与する多数のウェブサイトには明確な所有者がいなかったが、Silent Pushは最新のキャンペーンと、2022年に始まったロシアのプロパガンダ活動およびメディア組織「Absatz」とを結びつける「技術的指紋」を特定した。 「Absatzは2022年3月31日にロシアのメディア規制当局Roskomnadzorに登録されました。Roskomnadzorは通信・情報技術・マスメディア監督連邦サービスとも呼ばれ、ロシア政府の主要なメディアおよびインターネット規制機関です」と研究者は述べている。「この規制当局は、独立系メディアの検閲や国家統制の強化で以前から批判されています。」 Silent Pushの研究者は、複数の偽情報ウェブサイト間で共通するコードや、2つの専用IPアドレスに関連するドメインを特定し、「このキャンペーン全体でインフラの再利用や共通の所有権があることを示唆している」と述べている。 これら2つのIPアドレスは少なくとも2022年から偽情報キャンペーンに使用されており、前述のAbsatzと関連付けられていた。また、技術的な足跡が2022年と2025年のロシア偽情報ウェブサイトでのみ発見されたことから、Silent Pushは両キャンペーン間に開発者のつながりがあると結論付けた。 さらにブログ記事では、Absatzが自身のウェブサイトによれば「Shakhnazarov M. S.」という人物によって運営されているとされており、これはロシア在住でウクライナ侵攻を支持したことで同国から制裁を受けたとされるプロパガンダ担当者、Shakhnazarov Mikhail Sergeyevichを指している可能性が高いと指摘している。 ロシアの偽情報キャンペーンをさらに深掘り Silent Pushは運用上のセキュリティを考慮し、特定の技術的指紋を公表しないことを決定した。Silent Pushの脅威インテリジェンスディレクター、Kasey Best氏はDark Readingに対し、その理由の一つは「技術的指標が十分に分かりにくく、今後もこのネットワークや他のネットワークによって再利用される可能性がある」ためだと語った。 Dark ReadingはBest氏に、ロシアがこのような脅威活動を行っているのであれば、なぜさらに踏み込まないのか、なぜロシアは自らのウェブサイトにインフォスティーラーや他の悪意あるトラッカーを仕込まないのかと質問した。 「多くの理由があります」と彼は述べ、マルウェアがセキュリティコミュニティ全体から望ましくない注目を集めることなどを挙げた。マルウェアの存在は、法的枠組みが偽情報サイトを妨害する障壁を取り除き、ホスティングプロバイダーに対しても対応を迫る追加の圧力となる。 「心理作戦の世界では、特定の影響キャンペーンが発見されずに長く続けば続くほど価値が高まります。したがって、必ずしも無害なネットワークだけが使われるとは限りませんが、他にも考慮すべき要素があります」とBest氏は説明する。「このため、インフォスティーラーなどを組み込むかどうかは、運用者の視点からリスクとリターンの判断となります。」 翻訳元:

クラウドストライク合同会社のプレスリリース（2025年9月10日 11時00分）2025年版クラウドストライク脅威ハンティングレポート：広範囲にわたりAIを武器として利用し、AIを標的とする攻撃者

クラウドストライクが発表した2025年版脅威ハンティングレポートで、AIを武器として悪用する攻撃者の実態が明らかに。脅威の進化と企業防衛の重要性が浮き彫りに。

The more you hunt, the more you learn.

Robert Lackey、Cribl シニアスタッフプロダクトセキュリティエンジニア 2025年9月4日 読了時間：4分 出典：Stefan Sutka（Alamy Stock Photoより） 解説 検知ツールやダッシュボード、アラートが増え続けているにもかかわらず、攻撃者は依然として防御をすり抜けています。時には運、時にはスキルによるものです。いずれにせよ、私たちが毎日頼っているテクノロジーをすり抜けることができるのです。だからこそ、脅威ハンティングは成熟したセキュリティプログラムの一部であるべきです。これは、ツールが検知できるものと見逃すものの間のギャップを埋めてくれます。 脅威ハンティングはアラートに反応することではありません。「何か問題が起きているのに、まだ誰も気づいていないとしたら？」といった問いを立て、データを掘り下げて調べることです。 脅威ハンティングは考え方である 脅威ハンティングは職名ではありません。これはマインドセットです。何か問題があるかもしれない、という前提から始まります。ログや挙動、パターンをオープンかつ疑い深い目で精査します。これは一度だけ行う作業ではなく、時間をかけて身につける習慣です。 優れた脅威ハンターは生来好奇心が強いものです。なぜなのかを問い続け、納得がいくまで掘り下げます。多くは攻撃側の技術も学び、敵対者がどう考え、どう動くかを理解しようとします。攻撃をシミュレートして、どのようなシグナルが現れるかを観察します。インシデントから逆算して、もっと早く検知できた方法を考えます。こうした経験を積み重ねることで、表面上は問題なさそうでも異常な挙動を見抜く直感が養われていきます。 実践で学ぶ：シミュレーションで直感を鍛える 脅威ハンティングの直感を磨く最良の方法のひとつは、管理された環境で攻撃をシミュレートすることです。たとえばMimikatzのようなツールで資格情報ダンプを試してみましょう。システムとセキュリティのログを有効にしたラボ環境で実行し、その活動がデータ上でどのように現れるかを観察します。 どんなプロセスが起動するのか？どんなDLLが読み込まれるのか？新しいイベントIDや奇妙な親子プロセスの関係はあるか？単なるインジケータを見るのではなく、攻撃がどのような文脈で現れるかを学ぶのです。 目標は、悪意ある挙動のパターンを脳に覚えさせることです。これらのパターンが実際のログで再び現れたとき、より早く、より明確に気づくことができるようになります。 ハンティング前にベースラインを構築する 効果的な脅威ハンティングは、自分の環境で「正常」とは何かを知ることから始まります。つまり、ベースラインを作ることです。 まずは小さく始めましょう。認証ログ、DNSクエリ、プロセス生成イベントなど、ひとつのログタイプやデータセットを選び、時間をかけて観察します。通常アクティブなアカウントはどれか？標準的なプロセス階層は？どのサービスがいつ動作しているか？よく見られる通信先は？と自問してください。 学んだことを記録しましょう。完璧である必要はありませんし、複雑である必要もありません。期待されることを記録しておくだけで十分です。自分の環境に精通すればするほど、何かが通常と異なるときに気づきやすくなります。 異常の調査：好奇心を持ち続ける 何か異常を発見したとき、すぐに善悪を判断するのが目的ではありません。まずはそれが何なのかを知ることが目的です。 自問してください：誰が関与しているのか（アカウント、ホスト、IP）？いつ発生したのか？同じタイミングで他に何が起きていたか？この挙動はベースラインに合致しているか？ 検索範囲を広げてみましょう。同じコマンドやプロセスが他でも現れていないか？他のログで同じIPが使われていないか？横移動や、異なるシステム間で繰り返される挙動がないかを探します。 調査の結果、検知ルールや内部アラート、新たなデータポイントの記録につながるかもしれません。すべての異常が悪意あるものとは限りませんが、すべての調査が直感を磨き、プログラムの改善につながります。 必要なのは「正しいデータ」であり、「多いデータ」ではない 脅威ハンティングにおける最大の課題のひとつは、あまりにも多くのデータがあちこちに散在していることです。効果的なハンティングには、ログデータを迅速に収集・強化・検索できる能力が不可欠です。エンドポイントログ、ネットワークトラフィック、認証記録、DNSクエリなどが含まれます。ハンティングを始める前に、データが利用可能でアクセスでき、十分に構造化されていて有益な洞察が得られることを確認する必要があります。可視性がなければ、どんなに優秀なアナリストでも手探り状態です。 脅威ハンティングは運動のように継続する 脅威ハンティングは年に一度だけ行うものではありません。どんなスキルも、定期的な練習が必要です。最初のうちは、ハンティングしても大きな成果が出ないかもしれません。それで構いません。すべての検索が、自分の環境理解を少しずつ深めてくれます。やがて、より速く動けるようになり、より良い質問ができ、以前なら見逃していたパターンにも気づけるようになります。システムへの理解が深まり、何かおかしいときにすぐ気づける力が養われます。 最後に：ハンティングを続けよう 脅威ハンティングは、より強靭なセキュリティ体制を築くためのものです。「もしも」に備え、答えを探し、ツールがすべてを検知していると決して思い込まないことが大切です。 ハンティングを重ねるほど、学びが増えます。直感が養われ、環境理解が深まり、脅威が深刻化する前に特定できる力が高まります。 だから、習慣にしましょう。小さく始めて、好奇心を持ち続け、ハンティングを続けてください。 翻訳元:

Sophos Counter Threat Unitが発見し、Taegisプラットフォームが検知したVelociraptor悪用事件。攻撃者がデジタルフォレンジックツールを悪用してVisual Studio Codeトンネル接続を確立し、C2サーバーと通信する新戦術の脅威と対策を詳細に解説する。

An official website of the United States government

Microsoft has observed two named Chinese nation-state actors, Linen Typhoon and Violet Typhoon, exploiting vulnerabilities targeting internet-facing SharePoint servers. In addition, we have observed a...

Overview Welcome back to our series on Actionable Threat Hunting with Google Threat Intelligence! This time, we're going to talk about a huge phishing scam that's just happened in the last few months....

Microsoft flags a new Kremlin hacking team buying stolen usernames and passwords from infostealer markets for use in cyberespionage attacks.