【ITニュース解説】巧妙化する攻撃にはクロスドメインの可視性が重要--クラウドストライク調査

クラウドストライクが発表した「2025年版脅威ハンティングレポート」は、現在のサイバー攻撃がいかに進化し、企業や組織にとって大きな脅威となっているかを示している。このレポートからは、攻撃者が生成AIなどの新しい技術を積極的に活用し、その攻撃の速度と巧妙さを飛躍的に向上させている実態が明らかになる。システムエンジニアを目指す者として、これらの最新の脅威動向を理解することは、将来安全なシステムを構築・運用するために不可欠である。

現代のサイバー攻撃は、もはや単純な手法に留まらない。攻撃者は、標的のシステムの脆弱性を探すだけでなく、人為的なミスを誘うフィッシング詐欺から、正規のシステム機能を悪用する「Living Off The Land (LOTL)」攻撃、さらにはサプライチェーンを狙った巧妙な侵入まで、多岐にわたる手口を組み合わせる。LOTL攻撃とは、攻撃者が標的のシステムに元々備わっている管理ツールやスクリプトを悪用して、マルウェアをインストールすることなくシステム内で活動する手法を指す。これにより、セキュリティソフトウェアによる検出を回避しやすくなる。また、サプライチェーン攻撃は、標的となる企業が利用するソフトウェアやサービスを提供するベンダー（供給元）のシステムを侵害し、そこから標的企業へと攻撃を広げる手法である。これは、自社のセキュリティ対策が強固でも、取引先の脆弱性を通じて侵入される可能性があるため、対策が非常に難しい。

特に、生成AIの登場は攻撃者の能力を大きく変えた。生成AIは、人間が区別しにくい自然な文章を大量に生成できるため、フィッシングメールや偽のウェブサイト作成の自動化に利用される。これにより、攻撃者は以前よりもはるかに少ない労力で、より説得力のある詐欺を多数実行できるようになる。また、生成AIはマルウェアのコード生成や、標的のシステム環境に応じた攻撃スクリプトの作成にも利用され始めている。これにより、攻撃の準備期間が短縮され、より多様な攻撃パターンが生まれるため、従来のパターンマッチング型のセキュリティ対策では検知が困難になるケースが増えている。攻撃の「速度」と「巧妙さ」が同時に向上しているため、一度侵入を許すと、攻撃者は驚くべき速さでシステム内部を横断し、重要な情報を窃取したり、システムを破壊したりする。

このような高度化・高速化する攻撃に対抗するためには、「クロスドメインの可視性」が極めて重要だとレポートは指摘する。クロスドメインの可視性とは、組織内のIT環境全体を、ネットワーク、エンドポイント（PCやサーバーなどの端末）、クラウド環境、そしてユーザーの身元情報（ID）といった、異なる複数の領域（ドメイン）を横断して監視し、状況を把握することである。従来のセキュリティ対策は、これらのドメインを個別に監視することが多かった。例えば、ネットワークの異常はネットワーク監視ツールで、PCの異常はエンドポイントセキュリティツールで、といった具合である。しかし、攻撃者はこれらのドメインの境界線を簡単に乗り越えて活動する。あるドメインで検出されにくい活動が、別のドメインで見れば不審な行動として浮かび上がる、ということが頻繁に発生する。

例えば、攻撃者がフィッシングメールで従業員のID情報を盗み、そのIDを使ってクラウド環境にログインしたとしよう。クラウド環境自体は正規のIDによるアクセスとして記録されるため、単一のドメインの監視だけでは異常を検知しにくい。しかし、もしこのログインが普段利用しない国からのものであったり、ログイン後に通常とは異なるファイルへのアクセスがあったりすれば、それは不審な行動の兆候となる。これらの情報をネットワークの通信履歴、エンドポイントの操作ログ、IDの利用履歴、クラウドのアクセスログといった複数のドメインから集約し、関連付けて分析することで、初めて攻撃の全体像が見えてくる。この全体像を把握することこそが、クロスドメインの可視性が提供する価値である。

クロスドメインの可視性を実現することで、攻撃の初期段階での検知、進行中の攻撃の早期発見、そして迅速な対処が可能になる。攻撃の連鎖的な動きを早期に把握できれば、被害が拡大する前に食い止めることができる。これは、サイバー攻撃が巧妙化し、潜伏期間が長期化する傾向にある現代において、最も効果的な防御策の一つとなる。

この可視性をさらに効果的に活用するために「脅威ハンティング」というアプローチが重要になる。脅威ハンティングとは、セキュリティ担当者が受動的にアラートを待つのではなく、能動的に組織のシステム内部に潜んでいるかもしれない未知の脅威や、検出をすり抜けているかもしれない攻撃者の活動を探索する活動である。クロスドメインの可視性によって得られる大量のログデータやイベント情報は、脅威ハンティングの強力な武器となる。例えば、複数のドメインを横断したデータの中から、一見無害に見える多数のイベントの中から関連性を見つけ出し、潜在的な攻撃の兆候を炙り出すのだ。これは、まるで広大な森の中で、獲物の足跡やかすかな音を頼りに隠れた動物を探し出すようなもので、高度な専門知識と分析能力が求められる。

システムエンジニアを目指す者は、このような最新のセキュリティ動向を常に意識し、自らが設計・構築するシステムにどのようにセキュリティ対策を組み込むべきかを考える必要がある。単に機能を満たすだけでなく、そのシステムが攻撃者にどのように狙われる可能性があるか、どのような情報が窃取されるリスクがあるか、そしてどのようにしてそれを検知し、防御するかという視点を持つことが重要である。これからのシステムは、構築段階からセキュリティを考慮した「セキュリティ・バイ・デザイン」の考え方が求められる。

クロスドメインの可視性という考え方は、個々のシステムコンポーネントだけでなく、それらが連携して形成するITインフラ全体を、一つの大きなセキュリティ監視対象として捉える視点を提供する。未来のシステムエンジニアは、特定の技術領域だけでなく、ネットワーク、サーバー、クラウド、アプリケーション、データベース、そしてユーザーの行動といった広範な領域にわたる知識と、それらを統合的に理解する能力が求められるだろう。巧妙化するサイバー攻撃からシステムを守るためには、常に最新の脅威情報にアンテナを張り、変化に対応できる柔軟な思考力と、全体を俯瞰する視点を持つことが不可欠となる。セキュリティは、もはやオプションではなく、ITシステムの基盤となる要素なのである。