一枚要約
Mandiant M-Trends 2026が示した「22秒の引き渡し」は、単なる印象的な数字ではなく、SOC運用設計を変える構造変化です。低優先度アラートを二次侵害の前兆として扱い、earliest activityベースで時計を巻き戻し、pre-approved toolsのベースラインでalert volumeを減らし、相関ベースのルールで短時間連鎖を捉え、初期アクセス事業者と次段グループの結合関係を脅威インテリジェンスで管理する。この5原則をSOCプレイブックに反映できれば、22秒モデルへの構造的な対抗が可能になります。
このテーマを取り上げる理由
Mandiant M-Trends 2026の中核観察のひとつ「初期アクセスから次段攻撃者への引き渡し中央値が22秒」は、当ブログでも5つの数字記事で取り上げました。本稿はその派生として、レポート巻末の特集記事「A Minor Infection Today Can Be a Ransomware Attack Tomorrow」(M-Trends 2026 p55〜59)を一次ソースに、CISO・情シス・SOCマネージャが自社のSOCプレイブックをどう書き直すべきかを、Mandiantの調査結果から導かれる5つの設計原則と具体的な実装指針として整理します。グローバル数字の解説ではなく、明日からプレイブックに反映できる粒度を目指します。
22秒が意味すること
まず「22秒」という数字の正確な定義を押さえます。これは初期アクセスを取得した攻撃者(initial access partner1)の最初の活動(earliest activity2)と、次段の攻撃者(secondary group3、多くの場合ランサムウェア展開グループ)が環境内でアクセスを得た最初の活動との時間差中央値で、Mandiantの2025年インシデント調査から算出された値です(M-Trends 2026 p55)。2022年は同じ定義の指標が8時間超で、両年ともearliest activity間の時差として測定されており直接比較可能です。
引き渡しがここまで速い理由として、Mandiantは以下の構造変化を挙げています。
- 専門化の進行:2025年の調査の9%で「分業モデル」が確認され、初期アクセス専門と高インパクト操作専門が分離した(2022年は4%)
- 自動化されたパイプライン:地下フォーラムでアクセスを売買する従来モデルから、初期アクセス事業者が次段グループの代理でマルウェアを直接配信する形態へ移行
- パートナーシップの密度向上:UNC1543(FAKEUPDATES、他ベンダーではSocGholishとして知られる同一マルウェア)とUNC2165(M-Trends 2026 Report p58によれば、2025年時点でRANSOMHUBをRaaSとして展開)のような、特定の組み合わせが繰り返し観測される
具体例として、Mandiantが2025年に調査した事案では、ブラウザセッションが侵害サイトに到達しFAKEUPDATESが実行されてから、UNC2165がVIPERTUNNEL(Pythonベースのトンネラー)でハンドオフを受けるまで約70分、その45分後に対話型の偵察活動が始まり、最終的にRANSOMHUBランサムウェアがWindowsおよび仮想化管理サーバ両方に展開されました(同p58)。「FAKEUPDATESのような低インパクトのマルウェア感染は、もはや単独の事象として片付けられない」というのが特集記事の核心メッセージです。
SOCプレイブック再設計の5原則
原則1:低優先度アラートを「二次侵害の前兆」として扱う
従来のSOC運用では、コモディティマルウェア(FAKEUPDATES/SocGholish、LummaC2=Mandiant 分類では LUMMAC.V2 等の初期段階ペイロード)や PUA(Potentially Unwanted Application)検知はalert fatigueを避けるため低優先度に分類されがちでした。22秒モデルでは、これらが高インパクト侵害の入口である可能性を前提に分類を変更する必要があります。
実装: SIEMルールで「初期アクセス系 TTP(T1566 Phishing、T1189 Drive-by Compromise)」のディテクション(マルバタイジング経路は T1189 の代表例として整理。T1583.008 は Resource Development タクティクスで Initial Access ではない点に注意)は、単独でも一定の追跡を発火させ、24時間以内に脅威ハンティングを実行するSLAを設けます。Mandiantは「FAKEUPDATESアラートはhigh criticality responseで扱うべき」と特集記事で明示しています。
原則2:earliest activityベースのタイムライン管理
Mandiantが定義する「earliest activity(最初の活動)」は、対話型でないマルウェア配信時点を含みます。これに対し従来のインシデント対応は「最初の対話型活動(earliest interactive activity)」を起点に時系列を構築する傾向がありました。22秒モデルでは、非対話型活動の発見時点を時計の起点にする運用に切り替えます。
実装: EDRテレメトリでPUA/Trojan系検知に「first observed timestamp」を必ず記録し、インシデントチケットの「侵害推定開始日時」フィールドはこの値で初期化します。SOARプレイブックの初動24時間タイムラインも非対話型IOCベースで設計します。
原則3:pre-approved toolベースラインの整備
特集記事はもう一段踏み込んで、「IT部門・セキュリティ部門・利用者の三者共通のツール承認リスト(pre-approved tools4)」をベースラインとして整備することを推奨しています。これはalert volumeを構造的に減らすアプローチで、ベースライン外のバイナリ実行やinstaller起動のみを高優先度で扱う運用です。
実装: 業務単位ごとに必要なITツール(IDE、コマンドライン、ファイル転送、リモート管理)を許可リスト化し、Microsoft IntuneのWDAC(Windows Defender Application Control)やJamfのApplication Allowlist等で配信します。WDACはAuditモードから始め、1部門で30日間Auditログを取ってFPリストを確定させてからEnforceモードへ段階移行する設計が現実的です(Enforce即時切替は数ヶ月のリードタイムを要するためお勧めしない)。利用者にはpre-approved toolsへのアクセスを摩擦の少ないインターフェース(社内ストア・セルフサービスポータル)で提供し、許可外ツールの自己インストールが減る環境を作ります。
原則4:相関ベースのアラート設計(イベント単独ではなく系列で評価)
22秒モデルでは、単一イベントを評価する従来型ルールは時間的に間に合いません。初期アクセスTTP → 永続化 → 認証情報窃取のような短時間連鎖を相関で検知する設計が必要です。
実装: Sentinel・Splunk・Chronicle等のSIEMで「初期アクセス系イベントから30分以内にMimikatz・LaZagne・Rubeus等の認証情報窃取ツールが起動」「FAKEUPDATES検知から60分以内にPowerShellでリモートIPへのアウトバウンド接続」のような複合ルールを定義します。30分・60分という時間窓は本稿著者の経験則による初期値で、各環境のCI/CDパイプラインや正規管理ツールの動作頻度に応じて30日のチューニング期間でFP率を見ながら調整します。Mandiantが定義するTargeted Attack Lifecycle(初期アクセス→確立→拡張→影響のフェーズ分類、MITRE ATT&CKのTacticsと紐づけ可能)に沿って、初動からラテラルムーブメントまでの典型シナリオを5〜7個用意し、月次に再評価します。
原則5:低インパクト→高インパクトの「結合関係」を脅威インテリジェンスで管理
特定の初期アクセス事業者と特定の次段グループの組み合わせ(例: UNC1543+UNC2165+RANSOMHUB、UNC5518+UNC5774)をMandiantは固定パートナーシップとして追跡しています。この結合関係を社内の脅威インテリジェンスとして取り込み、片方の活動が観測された時点でもう片方の検知を強化する運用が、22秒モデルへの構造的な対抗策になります。
実装: 商用TI(Mandiant Advantage、Recorded Future、CrowdStrike Falcon Intel等)または公開TI(GTIGブログ、Mandiant blog、CISA CSA)のIOCをSIEMのwatch listに取り込み、「FAKEUPDATES検知 → UNC2165関連IOCのディテクション閾値を72時間下げる」のような動的ルール変更をプレイブック化します。72時間という長さは初期値で、Mandiantの事例(70分のハンドオフ後45分で対話型活動)と比較すると「次段グループの侵害が顕在化するまでの典型的な時間」をカバーする範囲として設定。MISPのようなOSS脅威共有基盤で結合関係をデータ化することも有効です。
業種別の含意
- 金融・保険:規制報告期限(米 SEC 4 日ルールは materiality determination(重要性決定)時点から 4 営業日。earliest activity の起点把握はその判断を遅滞なく完了させるために不可欠。FPI は Form 6-K 対応、Item 1.05(c) の DOJ 承認による開示遅延例外あり。金融庁検査基準と並行)に対応するため、原則 2 と原則 4 の優先度が最も高い領域です。
- 製造・重要インフラ:OT環境を持つ組織は、IT側の22秒モデルがOTへの足場攻撃に直結するリスクがあります。原則3のpre-approved toolsベースラインはIT/OT境界で特に重要です。
- ハイテク・SaaS事業者:自社が初期アクセス事業者の踏み台になり、顧客テナントへ波及するシナリオが2025年に複数観測されました。M-Trends 2026 p21 では UNC6395 が SaaS プロバイダを侵害して認証トークンを窃取し、その先の顧客環境へ二次侵害を行ったケースが報告されています(公開報道との具体的な紐付けは Mandiant の公式発表でご確認ください)。原則5の結合関係追跡を、自社利用するクラウド連携製品(OAuth連携SaaS群)で実施する必要があります。
今日着手できる3アクション
- 直近30日のFAKEUPDATES/コモディティマルウェア検知ログを再レビュー:自社のEDR・メールセキュリティのログから「PUA/Trojan-Generic/Adware」とラベル付けされ非対応のまま閉じたインシデントを抽出し、感染後72時間以内に他のEDRイベント(PowerShell実行・RDP接続・新規スケジュールタスク等)が発生していないか目視確認します。30〜60件の小規模サンプルで構造的な見逃しを発見できます。
- 「earliest activity」フィールドのデータモデル変更チェック:インシデント管理ツール(Jira、ServiceNow、TheHive等)の「侵害推定開始日時」フィールドが「最初の対話型活動」基準で運用されていないか確認し、非対話型IOC(マルウェア検知タイムスタンプ)も格納できるよう運用ルールを書き換えます。
- pre-approved toolsベースラインの初版を1業務単位だけ作る:1つの業務部門(例: 開発チーム、経理チーム)を対象に、業務遂行に必要なITツール一覧をExcelで書き出します。Microsoft IntuneのApplication Allowlist等の配信は次フェーズに回し、まず一覧を作るところまで30分で着手します。
AI×セキュリティの観点
22秒モデルが示す「自動化された引き渡し」は、攻撃者側のAI活用とも連動しています。M-Trends 2026 p4(Introduction)では「PROMPTFLUX」「PROMPTSTEAL」というマルウェアファミリが実行中にLLMを呼んで検知回避コードを動的生成する事例として、p39(AIセクション)ではNPMサプライチェーン侵害から導入された「QUIETVAULT」が侵害端末にAI CLIツールが導入されているか確認し、事前定義プロンプトで設定ファイルを探索してGitHub・NPMトークンを公開リポジトリへ転送する事例として公表されました。SOC側でもAI活用を進める必要があり、具体的には(1) Microsoft Security CopilotやGoogleのGemini for Security(旧Sec-PaLM)など防御側AIアシスタントによる脅威ハンティング加速、(2) SOARの自動応答プレイブックをLLMベースで動的生成する仕組み、(3) アラート優先度判定をLLMで再評価し、原則1の「低優先度を高優先度で再分類する」運用を継続的に学習させる仕組み、の3点で攻撃者の22秒に対抗します。ただし防御側のLLM自体がプロンプトインジェクションの標的になるため、プロンプトインジェクション7パターン記事のパターン7(エージェント連鎖攻撃)対策も並行して必要です。
用語ミニ解説
- initial access partner:分業モデルにおける初期アクセス専門の脅威クラスタ。UNC1543、UNC5518、UNC6016等が2025年に観測された代表例。 ↩
- earliest activity:M-Trends 2026の特集記事で導入された概念。攻撃者の環境内における最初の活動で、対話型・非対話型を問わない。従来「最初の対話型活動」基準だった時系列管理を見直す起点となる。 ↩
- secondary group:分業モデルにおいて、初期アクセス取得後に高インパクト操作(ランサムウェア展開・データ窃取・恐喝等)を実行する次段グループ。UNC2165、UNC4696等。 ↩
- pre-approved tools:IT・セキュリティ・業務利用者の三者共通で承認されたツール一覧。ベースライン外のバイナリ実行を高優先度で検知することでalert volumeを構造的に削減する設計。 ↩
- Mandiant Targeted Attack Lifecycle:Mandiantが体系化した攻撃ライフサイクルモデル(初期アクセス→足場確立→拡張→影響)。MITRE ATT&CKのTactics(公式タクソノミーは別物)と紐づけて使うことで、複数イベントを系列で評価するルール設計の基礎になる。 ↩
コメント