準備段階とは?多くのツールが見逃す攻撃タイムラインの最初期 | Codebook|Security News
Codebook|Security News > Articles > サイバーインテリジェンス > 脅威インテリジェンス > 準備段階とは?多くのツールが見逃す攻撃タイムラインの最初期

脅威インテリジェンス

Silent Push

脅威アクター

準備段階とは?多くのツールが見逃す攻撃タイムラインの最初期

nosa

nosa

2026.07.17

攻撃キャンペーンはアラートが発生する数週間、あるいは数か月前からすでに始まっています。検出ツールが何らかの情報を取得する頃には、攻撃者はドメイン登録を済ませ、サーバーのプロビジョニングやDNSレコードの設定を行い、インフラのテストを終えています。このような準備段階は、従来の脅威インテリジェンスツールで監視できる範囲からほぼ完全に外れています。

本記事は、マキナレコードが提携するSilent Push社のブログ記事『What Is the Preparation Phase? The Part of the Attack Timeline Most Tools Miss』(2026年6月17日付)を翻訳したものです。

こちらのページから、Silent Pushで公開中のその他のブログ記事もご覧いただけます。

準備段階とは?

準備段階とは、脅威アクターが攻撃で使用するインフラを構築・準備する期間のことです。この間にドメイン登録やサーバープロビジョニング、DNS設定、証明書発行、展開前テストなどが行われ、実際の攻撃キャンペーンが始まった時点で終了します。

準備段階では有害なイベントが発生せず、構築中のインフラは正当なインフラと区別がつきません。エンドポイントの振る舞いに異常は見られず、既知の有害指標との関連性もなく、関係するログエントリもありません。したがって従来の検出ツールでは、対処すべきシグナルを一切検出できません。結果として、従来の脅威データで読み取れるのは、攻撃サイクル全体の最後の約5%、つまりインフラが稼働を始め、攻撃キャンペーンがすでに実行されている段階なのです。

IoCタイムラインの真の起点

システム内で侵害指標(Indicator of Compromise、IoC)が発見された時点で、脅威アクターはすでに数週間、あるいは数か月にわたって活動を続けていることが多く、新規登録ドメインがブロックされる機能を回避するために、前もって登録されたドメインを一定期間、意図的に休眠状態にすることも多々あります。また、サーバーはキャンペーンを実施する前にプロビジョニングを経て、設定と動作確認が行われています。

SIEM、EDR、ブロックリストを中心としたセキュリティプラットフォームは、イベント駆動型のロジックに基づいて設計されています。対応する機能が展開されるためには、エンドポイントやログ、あるいは既知の有害指標に関するイベントの発生が必要になるのです。このような設計には、攻撃サイクルのどの段階でツールを動作させるのかという、アーキテクチャ上の意図的な選択が反映されています。準備段階の活動はより上流で行われるため、従来のツールではこれを認識できません。そもそも、ツールは準備段階を検知するように設計されていないため、そのような機能を期待すること自体が的外れなのです。

準備段階に起きること

準備段階は、特定のアセットがローテーションされる場合でも、複数のキャンペーンを通じて識別可能な運用パターンに従って進められます。

 

 

準備段階では汎用性の高い活動が行われることもあり、標的を選定する前からインフラが構築されます。一方、特定の組織を装うドメインや、その組織のサービスを模倣する証明書を用いるなど、高度にカスタマイズされたステージングを必要とするキャンペーンもあります。いずれの場合も、Silent PushのContext Graphによって識別される行動パターンは一貫しています。

一般的な脅威インテリジェンスでは遅れを取る理由

SIEM、EDRプラットフォーム、ブロックリスト、そして標準的な脅威インテリジェンスフィードには、ある共通した依存関係があります。何らかのインシデントが発生した後でなければ、機能しないという事実です。ブロックリストへの登録には、悪用された痕跡(インジケーター)が必要です。EDRのアラートも、エンドポイントで特定の挙動が観測されてから発せられます。SIEMの相関ルールには、すでに発生したイベントのログデータが欠かせません。そして脅威インテリジェンスフィードに記録されるのは、観測された事実、つまり実行された攻撃キャンペーン、武器化されたインフラ、すでに実害を受けている被害者についての情報なのです。

データ収集のサイクルは、次のような流れで機能します。まずインシデントが発生し、データが生成されます。するとそのデータが処理されてインジケーターとなり、最終的に利用者のシステム環境に届きます。ただし、このサイクルが完了する頃には、次の攻撃キャンペーンに向けた準備段階がすでに終了しているかもしれません。従来のセキュリティツールは正確かつ迅速に処理を行っていますが、その焦点はあくまでも「すでに発生した活動」に当てられています。

防御側の優位性を最大化

準備段階であれば、侵害が発生する前に構築中のインフラを阻止したり、まだ始まっていない攻撃キャンペーンを事前に無力化したりすることができます。しかし、キャンペーンが実際に開始されると、タイムラインに沿って攻撃が実行されてしまうため、防御策の選択肢は著しく限られてしまいます。

Silent Pushの先駆的サイバー防御は、攻撃の準備段階において機能するよう設計されています。このプラットフォームはDNSやWHOIS、証明書データ、ホスト構成といったインターネットインフラの情報を継続的にマッピングし、既知の悪性アセットに加え、攻撃者の戦術・技術・手順(TTP)に合致する手法でインフラが構築・管理される際に表出する行動パターンを分析します。これらのパターンが攻撃キャンペーンのステージングにおける運用上の特徴と一致した場合、当社の先駆的テクノロジーによって将来攻撃指標(IOFA®)が生成されます。このIOFAは、攻撃で使われる前のステージング環境から発せられる検証済みシグナルです。

そのプロセスによる早期検出の平均リードタイムは、従来のSIEMアラートと比較して104日短くなっています。高度持続的脅威(APT)キャンペーンの場合、リードタイムは300日を超えています。

 

各チームにさまざまな恩恵

IoCベースのフィードを利用するSOCマネージャーは、すでに進行中の攻撃活動に対応せざるを得ません。その時点で攻撃インフラは数週間にわたって稼働しているため、キャンペーンが本格化し、アラートの数も急増しています。Context GraphのIOFAを既存のシステムに統合すれば、アラートが急増する前に、検証済みのインジケーターをブロックリストに登録したり、ステージング環境を検証したりするためのリードタイムを確保できます。つまり、アナリストはすでに発生している事象に遅れて対応するのではなく、攻撃者の最新データに基づいて先回りした対応が可能になります。

進行中の侵害に関するインシデントレスポンス(IR)の調査は、すでに確認されている単一のインジケーターが出発点になります。しかしそのインジケーターだけでは、攻撃者が準備を終え、使用できる状態にあるインフラの全体像を把握することは困難です。攻撃者は冗長性を持たせてインフラを構築するため、調査で特定されたアセットにのみ対処を施しても、再侵入に使われるルートが残ってしまうことは十分に考えられます。Silent Pushではインフラ間の関連性やDNSおよびWHOISの変更履歴などを追跡することにより、最初のわずかな痕跡を攻撃者が制御する全アセットに結び付けることができます。これにはプライマリドメインやIPアドレスが検知された場合に使われる予備のインフラも含まれます。

侵害発生後の報告を行うCTIアナリストは、すでに起きている事象を文書化します。つまり、その情報をSOCが活用し、対策に反映できることには限界があるのです。一方、侵害が発生する前にステージング中のインフラに関するIOFAを共有できれば、その報告の運用価値を飛躍的に高められます。Context Graphは200以上の行動パラメータを対象とした相関関係を事前に分析・統合しているため、Silent Push Query Language(SPQL)でクエリを実行する時点ですでにクラスタリングが完了しており、はるかに早い段階で調査の方向性を広げられるようになります。

インシデント発生前の準備段階に着目

Silent PushのIOFAは、侵害前のインフラデータを基に構築されています。当社のプラットフォームはインフラの武器化に先立ち、アラートが発生する前に攻撃者のステージング環境を可視化し、セキュリティチームをサポートします。

  • キャンペーンが展開される前にステージング環境をブロックします。Silent PushはIOFAを既存のブロックリストとSIEMにプッシュ配信するため、前月のIoCフィードではなく、攻撃者の最新インフラに基づいた対応が可能です。

  • フィードの自動エクスポートにより、より早期かつ正確な指標を取り込むことができます。IOFAフィードはアナリストチームによる最新の研究結果に基づき、継続的に更新されています。

  • インフラレベルからAPTキャンペーンを追跡します。事前に構築されたIOFAフィードにより、こうした指標が広く検出されるよりも平均で104日早くAPTのステージングパターンを可視化できます。

始めよう

Silent Pushが攻撃の準備段階を可視化する方法について、さらに詳しく確認するにはデモをお申し込みください。

 

※日本でのSilent Pushに関するお問い合わせは、弊社マキナレコードにて承っております。詳しくは、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ