はじめに
また一年の年末がやってきた。この時期になると、今年一年のセキュリティ対策を振り返る方も多いだろう。
最近、気になる記事をいくつか読み返して、改めて考えさせられることがあった。仲間であるskybreaker氏が継続的に紹介している最新の攻撃手法を見ていると、攻撃手法の進化スピードの速さに驚かされる。Hyper-Vを悪用した検知回避、カスタムフォントを使った難読化、正規のDFIRツールの悪用——これらはほんの一例に過ぎない。
一方、セキュリティコンサルタントの日誌から発表された以下の2つの記事は、このような急速に変化する脅威に対して、私たちがどう向き合うべきかを考えさせてくれる。
しかし、現実はどうだろうか。計画を立て、様々な対策を実施し、予算も投入している。それなのに、なぜか効果が実感できない——これが現在のセキュリティ業界が抱える共通の課題ではないだろうか。
端的に言えば、対症療法になっていないのだ。対策が「核」、つまり本当に重要なポイントに当たっていない。
攻撃手法が極めて速いスピードで進化し続ける現代において、私たちはどのような考え方と姿勢で脅威と共存していくべきなのか。
今回は、年末という節目に、この問題について改めて考えてみたい。
現状「やってる感」だけのセキュリティ対策
まず、よくある状況を見てみよう。
ケース1:最新EDRを導入したが...
- 数千万円をかけて最新のEDRを全端末に導入
- ダッシュボードには毎日数百件のアラート
- しかし検知しているのは既知のマルウェアばかり
- Curly COMradesのようなHyper-V内での攻撃は素通り
- Sryxen Stealerはバックグラウンドでブラウザを実行し、認証情報を盗んでも正常動作と判断される
ケース2:脅威インテリジェンスレポートを毎週配信しているが...
- セキュリティチームが海外のニュースを翻訳
- 毎週月曜日に経営層へ報告
- しかし「情報共有のための情報共有」になっている
- 誰も読まず、何も決定されない
ケース3:年間予算の30%をセキュリティに投資したが...
- SIEM、EDR、脅威インテリジェンス、SOC委託...
- ツールは増えたが、インシデント件数は変わらない
- Gootloaderのカスタムフォント難読化のような新手法には無力
- 正規ツールVelociraptorをC2サーバとして悪用された攻撃は「正常な動作」として見逃される
ケース4:生成AI時代に対応したつもりが...
- ChatGPTやCopilotの業務利用を許可
- しかし生成AI共有リンク経由でマルウェアがダウンロードされる
- AIブラウザがメールを読み取って勝手にGoogleドライブを削除する
- これらは全て「AI機能の正常動作」として検知されない
問題の本質:これらはすべて「既知の既知」にしか対応していない。
なぜこうなるのか:数学で証明する3つの落とし穴
I-集合論で見る「防御の穴」
攻撃手法を集合として考えてみよう。
A = 既知の攻撃手法の集合 D = 自社の防御が対応できる攻撃手法の集合 R = 実際に使われる攻撃手法の集合
理想的な状況:D ⊇ R(防御が実際の攻撃を完全にカバー)
現実の状況
D ⊆ A(既知の攻撃にしか対応していない)R ⊄ A(攻撃者は未知の手法を使う)∴ D ∩ R ≠ R(防御に穴がある)
skybreaker氏の記事から見る具体例
| 攻撃手法 | 集合Aに含まれるか | 集合Dに含まれるか | 防御結果 |
|---|---|---|---|
| Curly COMrades(Hyper-V悪用) | ❌ 最近発見 | ❌ EDRが仮想マシン内を監視できない | 素通り |
| Gootloader(カスタムフォント難読化) | ⚠️ 知られているが | ❌ 静的解析が"Oa9Z±h•"→"Florida"変換を検知できない | 素通り |
| Velociraptor悪用 | ⚠️ 正規DFIRツール | ❌ ホワイトリスト登録済み | 素通り |
| Copilot経由の情報窃取 | ❌ 想定外 | ❌ 正常な機能として認識 | 素通り |
| Sryxen Stealer(バックグラウンドブラウザ) | ❌ 新手法 | ❌ DPAPIキー保護を迂回 | 素通り |
| 生成AI共有リンク悪用 | ❌ 想定外 | ❌ ChatGPT/Grokは正規サービス | 素通り |
| ConsentFix(OAuth詐欺) | ❌ 新手法 | ❌ 本物のMicrosoft認証画面 | 素通り |
| AIブラウザ経由のゼロクリック攻撃 | ❌ 想定外 | ❌ メール受信は正常動作 | 素通り |
証明終了:D ⊂ A ⊂ U であり、R ⊄ A のため、|D ∩ R| / |R| ≪ 1(防御カバー率が極めて低い)
II-時間の非対称性:攻撃 vs 防御のスピード格差
定理:攻撃者の優位性
T_attack = 新しい攻撃手法の開発・展開時間
T_defense = 防御側の認識・対策実装時間
証明:
1. T_attack ≈ 数日〜数週間(PoC公開から実戦投入まで)
2. T_defense ≈ 数ヶ月〜数年(認識→予算承認→調達→実装→テスト)
∴ T_defense / T_attack ≫ 1
実際にどれくらいの時間差なのか?2025年11-12月の実測データと典型的な組織の対応時間から検証してみよう。
【実測データ】2025/11/9 ~ 2025/12/16 T_observation = 37日(観測期間) N_attacks = 9個の新手法(実測) ∴ T_attack = T_observation / N_attacks = 37日 / 9個 ≈ 4日/手法 ← 実測値 【仮説】典型的な組織の対応時間 T_recognition = 7日(ニュース認識) T_translation = 7日(翻訳・報告書作成) T_approval = 120日(予算承認) T_implementation = 23日(調達・実装) ∴ T_defense = 7 + 7 + 120 + 23 = 157日 ← 仮定値 【時間差の計算】 T_defense / T_attack = 157日 / 4日 ≈ 39倍
この仮説が正しければ、防御側が1つの脅威への対策を 完了する頃には、約39個の新たな脅威が実戦投入されている
III-情報の価値減衰曲線
定理:脅威インテリジェンスの時間価値
V(t) = V₀ × e^(-λt) V(t) = 時刻tにおける情報の価値 V₀ = 初期価値 λ = 減衰定数(攻撃手法の変化速度) t = 時間
2025年11-12月の実測データで実測
【λ(減衰定数)の計算】 11/9:Curly COMrades発見 12/18:ESXi攻撃に進化(39日後) 同じHyper-V系でも手法が変化 ∴ λ ≈ ln(2) / 39日 ≈ 0.018/日 【情報価値の減衰シミュレーション】 t = 0日:V(0) = V₀(情報公開直後) t = 7日:V(7) = V₀ × e^(-0.018×7) ≈ 0.88 V₀ t = 30日:V(30) = V₀ × e^(-0.018×30) ≈ 0.58 V₀ t = 90日:V(90) = V₀ × e^(-0.018×90) ≈ 0.21 V₀ t = 134日:V(134) = V₀ × e^(-0.018×134) ≈ 0.10 V₀ 【多くの組織の運用:仮定】 11/9:Curly COMrades発見(V₀ = 100) 11/12:海外ニュース認識(t = 3日、V = 95) 11/16:翻訳完了(t = 7日、V = 88) 11/23:報告書作成(t = 14日、V = 78) 11/30:経営層報告(t = 21日、V = 68) 2026/1/15:予算会議(t = 67日、V = 30) 2026/4/15:調達開始(t = 157日、V = 7) ∴ 行動する時点で情報価値は7%に減衰
結局
- 報告すること自体が目的化
V₀は高い(最新情報)が、tが長すぎる- 結果:Actionableではない = 価値 → 0
どう改善するか:数学的アプローチで「核」を見極める
I-集合を正しく拡大する:D ⊇ (R ∩ Critical_Assets) を目指す
間違ったアプローチ
目標:D ⊇ R(全ての攻撃に対応しようとする) 問題:R は無限に近い(11-12月だけで9個の新手法) さらに正規ツール悪用で R は日々拡大中 → 不可能
正しいアプローチ
Critical_Assets = 自社の重要資産の集合 目標:D ⊇ (R ∩ Critical_Assets) つまり、重要資産を狙う攻撃だけカバーすればよい
戦略1:Critical_Assets を明確化する → skybreaker氏の記事から、業種別の Critical_Assets を分析
戦略2:R ∩ Critical_Assets を予測する
【従来の予測】 MITRE ATT&CK で TTP を列挙 → 問題:正規ツール悪用は TTP に含まれない 【2025年版の予測】 正規ツール/機能のリスク評価を追加: - Copilot → 重要ファイルへのアクセス権限 - 生成AI → 共有リンクの信頼性 - Velociraptor → C2として悪用可能性 - AIブラウザ → 外部サービス連携権限
戦略3:D を効率的に拡大する
優先度 = |D ∩ (R ∩ Critical_Assets)| / 投資額 この値が最大になる対策から実施
II-時間を短縮する:T_defense を最小化
改善前の問題
T_defense = T_認識 + T_承認 + T_実装
= 7日 + 127日 + 0日 = 134日
11-12月の新手法:9個 / 67日 = 3日に1個の登場ペース
134日後には、44個の新手法が登場している計算
改善後の構造
【平時】 T_awareness = 継続的(Situational Awareness構築) T_pre_approval = 事前に予算枠確保(四半期単位) T_preparation = Purple Teaming(Red TeamとBlue Teamが協力して防御を検証する手法) 【有事】 T_defense = T_実装のみ = 7日
セキュリティコンサルタントの日誌の提案を2025年版で実装
【平時モード】 目的:Situational Awareness(温度感の維持) 頻度:週次(skybreaker氏の記事をウォッチ) 内容: - 11/9:Curly COMrades → Hyper-V管理権限の見直し必要性を認識 - 11/24:Copilot悪用 → Ask Copilot設定の見直しを検討 - 12/13:生成AI悪用 → 共有リンクポリシーの議論開始 Actionable:不要(温度感の維持のみ) 効果:λ(情報減衰定数)を小さく保つ 有事モード】 トリガー:複数の類似攻撃が確認された時 実施: - 11/24-25:Copilot + Velociraptor悪用が連続 → 正規ツール権限見直しを即決定 - 12/13-16:生成AI + OAuth + WhatsApp詐欺が連続 → 認証フロー強化を即決定 Actionable:必須 効果:t(意思決定時間)を最小化
III-Threat Huntingの現実的な運用:「既知の未知」から始める
Step 1: まず |D ∩ A| を最大化(既知の既知をカバー) → EDR、SIEM等の基本対策 Step 2: 次に |D ∩ (A - D)| を最大化(既知の未知をカバー) → Purple Teaming / TLPT ← ここが「核」 Step 3: 余裕があれば |D ∩ (R - A)| に挑戦(未知の未知) → 本格的なThreat Hunting(ベンダー企業レベル)
| フェーズ | 活動 | 目的 | 効果 |
|---|---|---|---|
| 1. 仮説構築 | ATT&CKや最新手法から候補選定 | R の部分集合を定義 | 終了条件が明確 |
| 2. 攻撃実施 | Purple Teamingで実際に攻撃 | A - D を発見 | 再現性がある |
| 3. 検証 | EDR/SIEMのログを確認 | D に含まれるか判定 | 主観的判断を排除 |
| 4. 改善 | 検知ルール追加 | D を拡大 | ROI が高 |
IV-ROIを最大化する:投資の優先順位付け
Score = (Impact × Probability × Coverage) / Cost Impact = ビジネスへの影響度(1-10) Probability = 攻撃される可能性(0-1) Coverage = カバーできる攻撃の数 Cost = 投資額(万円)
まとめ:数学が教えてくれること
セキュリティ対策の成功条件
1. カバー率:|D ∩ (R ∩ Critical_Assets)| / |R ∩ Critical_Assets| → 1 → 重要資産を狙う攻撃をカバーする 2. スピード:T_defense / T_attack → 1 → 平時の準備で有事の対応時間を短縮 3. 情報価値:V(t_action) / V₀ → 1 → Strategic Intelligenceで温度感を維持 4. 投資効率:ROI = (Impact × Probability × Coverage) / Cost → max → 「核」に集中投資(動的)
完璧な防御は不可能
D = U (全ての攻撃に対応)は不可能 なぜなら: - R は無限に近い(攻撃手法は日々進化) - コストも無限に必要
温度感を適切に保つ
セキュリティコンサルタントの日誌の比喩を借りれば、「温泉を42度に保つ」ように
【平時】 - Situational Awareness構築(週次/月次) - 予備予算の確保(四半期) - Purple Teamingで継続検証(半期) 【有事】 - 即座に意思決定(1日) - 予備予算で即対応(1週間)
最後に:脅威との共存
skybreaker氏の記事を見れば分かるように、攻撃手法の進化は止まらない。Hyper-V悪用、カスタムフォント難読化、正規ツールの悪用...毎週のように新しい手法が登場する。
しかし、数学が教えてくれたのは
- 全てに対応する必要はない
- 「核」を見極めて集中する
- 時間との戦いを制する
この3つを実践すれば、投入した対策が確実に効果を生む。
2026年も、引き続き「適切な温度感」を保ちながら、脅威と共存していこう。
