Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
アタックサーフェス

Black Hat からの教訓: 誰もが予防を語るが、侵害を検知するのは誰か?

2025年8月15日
Lucie Cardiet
サイバー脅威リサーチマネージャー
Black Hat からの教訓: 誰もが予防を語るが、侵害を検知するのは誰か?

Black Hat の展示会場を歩けば明らかだったことが一つあります。それは、誰もが AIによって 「何かを守る、保護する、防御する」と言ってたことです。

そして、表面的には誰もが同じように見えます。

実際の課題を解決しようとする購入者にとって、誰を信頼し、誰に話を聞くべきかを見極めるのは難しいことでした。

攻撃者の振る舞いを毎日研究し、検知ロジックを構築している立場から、違う視点を提示したいと思います。重要なのは「一番派手なスローガン」や「華やかなデモ」ではありません。実際の攻撃がどのように行われているかに基づいて、より鋭い質問をすることです。

予防がいまだに支配的。しかし、予防だけでは機能しない

ベンダーのメッセージのほとんどは、依然として攻撃者の侵入を防ぐことに重点を置いています。それは確かに必要です。しかし、今日の攻撃者はもはや侵入のためにエクスプロイトを頼りません。

私のBlack Hatセッション「Mind Your Attack Gaps」では、Scattered Spider、Volt Typhoon、Mango Sandstormのような脅威グループが、どのようにアクセスを得て静かに権限を拡大していくかを例示しました。彼らにマルウェアやゼロデイは不要です。正規の認証情報、盗まれたセッショントークン、フェデレーションの悪用で、正規のアクティビティに紛れ込みます。

初期侵害は、多くのセキュリティツールが阻止するよう訓練されていないものから始まります。それは、成功したログインです。

そこから攻撃者はネイティブツールを使って環境を調査し、信頼された ID 経路を経て権限を昇格させ、OAuth アプリで永続化し、データを気付かれずに持ち出します。エクスプロイトは不要、バイナリも不要です。まるで正規の振る舞いに見える動作だけです。

従来のコントロールは、アクティビティが技術的にルールに従っているため、アラートを出しません。認証情報は有効で、アクセス経路は許可されています。ログも、削除されていなければ断片的な記録しか残りません。多くの防御は「異質で明らかに悪意のあるもの」を検知するように設計されており、「有効だが悪用されているもの」を想定していないのです。

私たちが実際に調査したすべてのケースで、防止策は講じられていました。しかし、それらは誤ったシグナルを監視していたのです。

それは、今日の攻撃は「目立たない」からです。攻撃者は「紛れ込む」のです。

「侵害を前提にする」ことが、ベンダー評価の基準であるべき

「侵害を前提にせよ」という言葉を聞いたことがあるかもしれません(以前のブログ記事 でもご紹介しています)。これは単なるマインドセットの変化ではなく、イベントにて誰もが「攻撃を止められる」と言っている中で、ベンダーをふるいにかけるための方法であるべきです。

市場にあるすべての製品を理解する必要はありません。攻撃者がどう振る舞うのかを理解し、それにどう検知・対応するかをベンダーに問うことです

  • 初期アクセス後、そのソリューションは何を検知できるか?
  • クレデンシャルが有効である場合、どのようにしてラテラルムーブを確認するのか?
  • SaaSアプリでユーザーのセッショントークンがハイジャックされたらどうなるか?
  • クラウド、アイデンティティ、ネットワーク層を横断して検知できるか?それとも単一レイヤーだだけなのか?
  • ログが消えた場合、どのような検知・対応能力を提供するのか?

もしその答えがアラートノイズを増やすようなものであったり、解決策がすべて予防とログに依存するものであれば、答えは出ています。つまり、その相手は、すでに侵害が発生したときに助けてくれる人ではありません。

侵害後に必要なもの(そしてそれをどう見抜くか)

侵害が発生したとき、そして発生する可能性があるとき、重要な差別化要因は可視性です。ここで言う可視性とは「生のテレメトリ」ではなく、環境全体を相関させてつなぎ合わせた「攻撃者の振る舞い」への可視性です。探すべきソリューションは次のような能力を持っています。

  • エージェントやログに依存しない検知活動
  • 偵察、クレデンシャルの乱用、永続化などの振る舞いを特定する
  • アイデンティティ、ネットワーク、クラウド全体で起きて いることを関連付ける
  • ノイズを増やすのではなく、ノイズを減らすトリアージを提供する
  • 孤立したイベントだけでなく、完全な攻撃経路を表示する

これらの能力は偽れません。デモを見れば明らかです。インシデント対応中に製品が何を説明するかで実感できます。単なるテレメトリを示すシステムと、「意図」を示すプラットフォームとの差は一目瞭然です。

問題は「侵害するか否か」ではなく「その後どうするか」である

多くのベンダーはいまだに「侵害を防げる」という希望を売っています。しかし攻撃者はもはや「侵入しよう」としていません。彼らはログインしているのです。つまり信頼を悪用しており、すでに内部にいるのです。

重要なのは、「入口で止められたかどうか」ではなく、「中に入った後に何をしているかを見抜けるか」です。

これこそ、すべての購入者が問うべき質問です。

現代の侵害がどのように進展し、振る舞いベースの検知が予防ツールが見落とすものをどう明らかにするか気になる方のために、数分で体験できる セルフガイド型デモをご用意しました。フォームも、電話も不要です。「有効な侵害検知とはどう見えるのか」を明確に確認できますのでぜひお試しください。

よくあるご質問(FAQ)