Logo
x logo
2025-08-19

継続的脅威暴露管理(CTEM)について考える

要約

LLMが巧妙なトロイの木馬を復活させ、サイバー防御は危機に瀕しているという記事が出ていました。データ窃取防止は3%に急落、パスワード攻撃も成功率が倍増し、全般的な防御有効性も低下。静的検知では不十分で、振る舞い監視や動的分析など高度な対策が必要といった言葉が並んでいたのですが、ここで少し継続的脅威暴露管理(CTEM)について考えてみました。結局は「連続」じゃなくていいので、「継続」が大事という話なのではないでしょうか?

解説

はじめに

サイバーセキュリティの防御は、進化する脅威、特に大規模言語モデル(LLM)によって生成される洗練された攻撃、そして既存のセキュリティコントロールにおけるギャップのために、遅れをとっており、企業は深刻なセキュリティリスクにさらされています。

近年、従来の防御策では検出が困難な「真のトロイの木馬」が復活し、データ窃取防止効果が著しく低下しているほか、パスワードクラッキングの成功率が倍増するなど、多くの領域で防御機能が低下しています。これまでのユーザーの警戒心や既存のスキャナーが通用しない新たな手口が台頭し、組織はこれまで以上にデータ漏洩や不正アクセスといった脅威に直面しているようです。

内容詳細

サイバーセキュリティ防御は、以下の点において進化する脅威に対して遅れをとっているか、あるいは怠っていたために防御率が低下しています。

  • 全般的な防御有効性の低下と検出ギャップの拡大

    • サイバー攻撃に対する全般的な防御有効性は、2024年の69%から2025年には62%へと低下しています。
    • 検出能力も依然として低く、シミュレートされた攻撃の7件に1件未満しかアラートをトリガーしていません。ロギング率は54%で横ばいであるにもかかわらず、アラートスコアは12%から14%にわずかに改善したに過ぎず、このギャップが多くの脅威を未検出のままにしてしまっています。
    • 検出ルールの不具合は、ログ収集の問題が原因であることが最も多く、これが問題の半分を占めています。パフォーマンスの問題や設定ミスも原因であり、ルールが存在しても統合の問題や古いロジックのためにサイレントに失敗しています。

  • データ窃取防止の急落と認証情報の脆弱性

    • データ窃取防止は、以前から最低ランクの攻撃ベクトルでしたが、9%からわずか3%へと急落しています。これは、攻撃者がデータ窃取と漏洩のために二重脅迫型ランサムウェアやインフォスティーラーをますます利用している中で発生しています。
    • パスワードクラッキングの試みは、テストされた環境の46%で成功しており、昨年の25%からほぼ倍増しています。これは、パスワードの複雑性の低さ、古いハッシュアルゴリズム、多要素認証の適用の一貫性の欠如が主な要因として挙げられています。
    • 攻撃者が盗んだり弱い認証情報を使用してアクセス権を得るMITRE ATT&CKテクニックである「有効なアカウント」の防御率はわずか2%でした。システムネットワーク構成の検出やプロセス検出といった発見テクニックも、低い2桁のスコアにとどまっており、攻撃者が容易に環境をマッピングできることを示しています。

  • LLMが推進する新たなトロイの木馬の出現と従来の防御策の限界

    • LLMは、従来のサイバー脅威であるトロイの木馬を復活させています。これらの脅威は、レシピ保存アプリ、AI搭載画像エンハンサー、バーチャルアシスタントなど、正規のデスクトップアプリケーションを装い、悪意のある機能を組み込んでいます。
    • 例えば、「JustAskJacky」アプリは、家庭のヒントを提供するキャラクターを特徴としながら、裏でコマンド&コントロール(C2)サーバーから任意のコードを実行するタスクをスケジュールしています。また、「TamperedChef」レシピアプリは、ダウンロードされたレシピ内の空白文字を実行可能なコマンドとして解釈し、無害なコンテンツをバックドアメカニズムに変えます。
    • これらの例は、数週間にわたりVirusTotalスキャナーに検出されず、トロイの木馬が、単に別個のマルウェアをバンドルするのではなく、悪意のあるロジックを機能するアプリケーションの中核に直接統合するという変化を示しています。
    • LLMは、プロフェッショナルなレイアウト、エラーのないコンテンツ、AIによってキュレーションされたデータベースを持つ説得力のあるウェブサイトを生成することを可能にし、ユーザーが感覚的に頼る「怪しい」という直感を損なっています。
    • さらに、LLMはこれらのアプリのために完全に新しい、アンパックされたコードベースの作成を容易にするため、高度な振る舞い分析を欠くVirusTotalのようなマルチスキャナープラットフォームの静的スキャナーを回避します。TamperedChefのケースでは、LLMによる読みやすい関数とコメント付きのコード生成がパッキングを不要にし、6週間の未検出期間を可能にしました。手作業で作成されたマルウェアでは珍しい「過度に親切なコメント」もLLMの関与を示唆しています。
    • この傾向は、静的シグネチャだけでは不十分であることを浮き彫りにしており、効果的な防御には振る舞い監視、動的分析、およびコンテキストに応じたシグネチャが不可欠であることを示しています。

企業が晒されているセキュリティリスクとしては、主に以下の点が挙げられます。

  • LLM生成の洗練されたトロイの木馬によるシステム侵害とデータ窃取: JustAskJackyやTamperedChefのようなアプリを通じて、不正なシステムアクセス、任意のコード実行、バックドアの確立などが行われ、内部システムが完全に侵害されるリスクがあります。これにより、機密データの窃取やさらなる攻撃の足がかりとなる可能性があります。
  • 機密データの大量漏洩: データ窃取防止率がわずか3%であることから、企業の最も機密性の高いデータが容易に流出するリスクが極めて高くなっています。二重脅迫型ランサムウェアやインフォスティーラーの増加により、攻撃者はデータを暗号化するだけでなく、窃取して公開すると脅迫するため、組織は深刻なビジネス中断と風評被害に直面します。
  • 認証情報悪用による不正アクセス: パスワードクラッキングの成功率が高く、「有効なアカウント」の防御率が低いことは、攻撃者が盗んだり推測したりした認証情報を使ってシステムに不正アクセスするリスクが非常に高いことを意味します。これにより、内部ネットワークへの侵入、特権昇格、ラテラルムーブメント(横方向の移動)が可能となり、企業全体のセキュリティが危険にさらされます。
  • 検出遅延による損害の拡大: 静的スキャナーを回避するLLM生成マルウェアや、アラート機能の不足により、攻撃が長期にわたり未検出のまま進行するリスクが高まっています。攻撃の早期発見が遅れることで、データ窃取やシステム破壊などの損害が拡大し、復旧にかかる時間とコストが増大します。

おわりに

今日のサイバーセキュリティ環境では、防御策の進化が脅威の進展に追いついていないことが明白であり、特にLLMがサイバー犯罪者の手に渡ることで、このギャップはさらに深刻化しています。企業はもはや、単に既知の脅威シグネチャに依存する静的検出や、ユーザーの「常識」に頼るだけでは不十分な段階にきています。「真のトロイの木馬」のような、悪意あるロジックが正規のアプリケーションと不可分に統合された脅威に対しては、振る舞い監視、動的分析、およびコンテキストに応じたシグネチャといった、より高度な防御メカニズムが不可欠となります。

今後、組織は、特にデータエクスフィルトレーション(データ窃取)と認証情報の管理における脆弱性に対処するため、具体的な対策を講じ、その有効性を継続的に検証する必要があります。これには、WindowsイベントログやSysmonイベントログを活用したデータアクセス監視の強化、DLP(データ損失防止)ルールの厳格な設定と検証、そして強化されたパスワードポリシーの施行、多要素認証の一貫した適用、シミュレートされたクラッキング試行による定期的な防御テストなどが含まれます。

最終的に、サイバーセキュリティのレジリエンスを高めるためには、「継続的脅威暴露管理(CTEM)」プログラムの導入が不可欠です。これは、単に広範なATT&CKカバレッジを追求するのではなく、自社の業界や地域で最も活発な脅威グループに焦点を当て、その具体的な戦術、技術、手順(TTP)に基づいて防御と検出の取り組みを洗練させることを意味します。ランサムウェア防御においても、暗号化ベースの攻撃だけでなく、最新の暗号化なしの恐喝戦術もシミュレートし、インシデント発生前の検出、封じ込め、および対応能力をテストすることが推奨されます。静的シグネチャにのみ依存するのではなく、振る舞いやID認識型の検出方法を採用し、防御コントロールを継続的に検証・調整することで、設定ドリフトや進化する脅威の影響に対抗し、組織を将来の攻撃から守る必要があります。これは、サイバーセキュリティが静的な状態ではなく、絶えず変化し適応していく動的なプロセスであることを示しています。

世界のセキュリティ最前線
Packet News 一覧へ