チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「脅威ハンティングって聞くけど、具体的に何をすればいいの?」
「DLLサイドローディングという攻撃、うちの会社も受ける可能性がある?」
チップスボス!
みずほフィナンシャルグループが「脅威ハンティング」で攻撃を見つけたってニュース、なんかカッコいいでしゅ!
でも脅威ハンティングって何でしゅか?
ボス簡単にいえば「攻撃されるのを待つのではなく、自分から脅威を探しに行く」手法だ。
みずほはエンドポイント管理ツールのTaniumを使って、DLLサイドローディングという巧妙な攻撃を実際に検知している。
守りの姿勢だけでは見つからない脅威があるということだな。
この記事では、みずほFGの事例をもとに、DLLサイドローディングの仕組みと脅威ハンティングの実践方法を解説します。
セキュリティ対策を「待ち」から「攻め」に転換するヒントが得られるはずです。
金融業界トップクラスの取り組みから、脅威ハンティングの実像を見ていきます。
みずほフィナンシャルグループは2018年にエンドポイント管理ツール「Tanium」を導入しました。
組織全体の端末をリアルタイムで可視化し、異常な挙動を能動的に探索する体制を構築しています。
この取り組みで得られた主な成果は以下の通りです。
注目すべきは、従来型のセキュリティソフトでは検知が難しいDLLサイドローディングを、脅威ハンティングのアプローチで見つけ出した点です。
「アラートが鳴ってから対応する」のではなく、「アラートが鳴る前に異常を見つける」という発想の転換が成果につながっています。
検知されたDLLサイドローディングとは、どのような攻撃なのかを掘り下げます。
DLLサイドローディングは、Windowsの仕様を逆手に取った攻撃手法です。
Windowsアプリケーションは起動時にDLL(ダイナミックリンクライブラリ)を読み込みますが、その検索順序に隙があります。
攻撃者は正規アプリと同じフォルダに悪意のあるDLLを配置し、正規のDLLより先に読み込ませるのです。
この攻撃が厄介な理由を整理します。
DLLサイドローディングへの対策は、複数の層で防御を固めることが基本です。
| 対策 | 内容 |
|---|---|
| OS・アプリの最新化 | DLL検索順序の修正パッチを速やかに適用 |
| デジタル署名の検証 | 読み込むDLLの署名を検証する設定を有効化 |
| アクセス権限の管理 | アプリケーションフォルダへの書き込み権限を最小限に制限 |
| 脅威ハンティングの実施 | EDRやエンドポイント管理ツールで不審なDLL読み込みを定期的に調査 |
パッチ適用やアクセス制御は防御の基盤ですが、それだけでは検知できない攻撃がある以上、脅威ハンティングを組み合わせることが不可欠です。
チップス脅威ハンティングってやっぱり専門知識がないと難しいでしゅよね?
うちの情シスでもできるんでしゅか?
ボス最初から完璧にやる必要はない。
まずはEDRのログを定期的に確認するところから始めればいい。
「普段と違う動き」に気づく習慣をつけることが、脅威ハンティングの第一歩だ。
ボスみずほの事例は、受動的な防御だけでは限界があることを示している。
脅威ハンティングは大企業だけのものではない。
規模に合った形で、能動的に脅威を探す体制を整えることだ。
チップスオイラもまずはEDRのログを読む練習から始めてみるでしゅ!
みずほFGの脅威ハンティング事例は、DLLサイドローディングのように従来型の防御では見逃されがちな攻撃への有効なアプローチを示しています。
パッチ適用やアクセス制御を徹底したうえで、EDRログの定期確認から脅威ハンティングを始めてみてください。
「待つセキュリティ」から「探すセキュリティ」への転換が、組織の防御力を一段引き上げてくれるはずです。
