NorthSec Conference 2026 において、ソフォスのプリンシパルデータサイエンティストである François Labrèche が「A Needle in a Haystack: Identifying an Infostealer Attack Through Trillions of Events in a Large-scale Modern SOC (干し草の山から一本の針を探す: 大規模な最新 SOC における数兆件のイベントから情報窃取型マルウェア攻撃を特定する)」と題した講演を行いました。
この研究は、今日のセキュリティオペレーションセンター (SOC) アナリストが直面している最大の課題の一つ、すなわち大量のセキュリティアラート (その多くは無関係または無害なもの) に起因するアラート疲れに焦点を当てています。
過去にもいくつかの研究で SOC のアラートフレームワークにおける誤検知やノイズ (不要な情報) の削減が模索されてきましたが、大規模な今日の SOC とは相容れない 2 つの根深い課題が存在します。
- これまでに発表されたアプローチは、往々にして侵入検知システム (IDS) のアラートに重点を置きがちである。
- これまでの研究で使用されたデータセットの規模は、今日の SOC の規模を十分に反映しておらず、データセットの規模はイベント/アラート数が 10 万件から 1,000 万件と幅がある (例: 1、2、3、4、5、6)。
そこで Labrèche は、より現実的なアプローチを提示しました。それは、アラートパイプラインのさまざまなレイヤーを対象とし、複雑さが段階的に高まる複数の検知・フィルタリングフレームワークを組み合わせたものです。
多層型アプローチが脅威の検知にどのように役立つかを示すため、Labrèche は、ソフォスのテレメトリから得られた 2 週間分のアラート (数兆件のイベントを含む) を用い、アラートの重複排除、個別のルールベースおよび機械学習 (ML) ベースの検知器、アラートの抑制、そして教師あり ML ベースのアラート優先順位付けモデルを組み合わせて、ノイズを劇的に削減しました。
このようにノイズを削減した結果、Labrèche は本物の情報窃取型攻撃を正確に特定することが可能であることを示しました。

図 1: 多段階パイプラインの概要
アラートパイプライン
Labrèche はテストデータを収集するため、毎日 8,000 億件以上のイベントを取り込む Taegis XDR のテレメトリを使用しました。対象とした 2 週間で、これは 11.8 兆件という驚異的な数のイベントに相当します。これらのイベントはさまざまなソースから収集されるもので、認証、ファイルの変更、プロセスアクティビティ、IDS アラートなど多岐にわたります。
検知器
アラートパイプラインの第一段階は検知器です。その目的は、お客様のセキュリティデータの中から潜在的な脅威を検知することです。攻撃経路は多岐にわたるため、検知器では複雑さの異なるいくつかのアプローチが採用されています。これらは以下の 4 つのカテゴリに分類されます。
単純な指標とルール
これらは非常に単純なフィルターであり、文字列一致や正規表現一致に基づく一般的な IOC (侵害指標) の一致に焦点を当てています。例として、正確な URL や IP、あるいは親プロセスと子プロセスの組み合わせとの一致が挙げられます。
相関ルール
これらのルールは少し複雑で、過去のアクションを参照して異常な動作を特定します。例えば、これまで開発サーバーだけにアクセスしていたユーザーが、管理サーバーにログインした場合などです。
ML モデル
最後に、特定の脅威タイプを検知することを目的として、アラートの特定のサブセットに対して検知器として動作する ML モデルがいくつかあります。その例として、URL が計算によって生成されたものかどうかを予測するドメイン生成アルゴリズム (DGA) モデルや、正規の IT スクリプトではなく攻撃者によってコマンドラインが実行されたかどうかを予測する「Hands-On-Keyboard」検知器が挙げられます。
DGA 検知器は、「DGA によって生成された」とラベル付けされた URL を含む履歴データを用いて学習された教師あり ML モデルです。長・短期記憶 (LSTM) を採用しており、URL を入力として学習するため、新しい URL に適用し、それらが DGA の生成物であるかどうかを識別することができます。
Hands-On-Keyboard 検知器は仕組みが異なります。こちらも教師あり ML ですが、学習にはより単純なロジスティック回帰を採用しており、複数のモデルを用いてコマンドラインが悪意のあるものであるかどうかを識別します。この検知器はコマンドラインを対象としているため、以下のような一般的なコマンドラインの特徴から機能が構築されます。
- コマンドの長さ
- ユーザー/プロセスが管理者権限を持っているかどうか
- コマンドライン内の引数(/add、/create、procdump など)
- コマンドライン内の実際のコマンド(echo、cmd など)
フィルタリング
一致したものだけが次の段階に進むため、この検知器フィルタリングの段階が最大の削減ポイントとなります。結果、イベントのうち「アラート」に昇格したのはわずか 0.02% にとどまりました。これにより大幅な削減が実現したものの、当初の 11.8 兆件のイベントのうち約 26 億件のアラートが残りました。これは手動でトリアージを行うにはあまりにも膨大な数でした。情報窃取型マルウェアの活動に通常関連付けられるアラートだけでも、1,600 万件近くに上りました。
重複排除と相関分析
多段階パイプラインの 2 番目は、重複排除と相関分析です。
重複排除
重複排除は、共通のシグナルを表す複数のアラートをグループ化することです。これには、DoS 攻撃、スキャン活動、パスワードスプレーなどが含まれ、数百または数千のアラートが 1 つにグループ化されたアラートに結合されます。グループ化の対象となるエンティティは、ユースケースに応じて異なります。例えば、DoS 攻撃は複数の送信元から 1 つの URL や IP を標的にするのに対し、スキャン活動は 1 つの送信元から複数のマシンを標的にします。
相関分析
同様に、相関分析はエンティティに対する既知の攻撃パターンに関連付けられた異なるアラートをグループ化するために使用されます。例えば、同じマシン上の同じユーザーが攻撃後活動の被害に遭っている場合などです。
重複排除と相関分析を行った結果、アラートの 9.5% が残りました。2 週間で約 26 億件のアラートがグループ化され、2 億 5,140 万件のアラートになりました。この段階を経ても、情報窃取型マルウェアの活動に関連付けられたアラートは 78 万件存在していました。
抑制
次は、アラートパイプラインにおける第 3 段階である「抑制」です。これらのフィルタリングされたアラートは、アラートやお客様を取り巻くコンテキストに依存します。例としては、誤った脅威インテリジェンスや IOC に基づく誤検知アラートの抑制や、特定の組織が特定のアラートタイプに対してすでにセキュリティ対策を講じている場合などが挙げられます。例えば、組織が社内で脆弱性スキャナーを実行している場合、承認済みの活動であるため、そのスキャンによるアラートは抑制されます。
結果として、残りのアラートの 16% が抑制されました。具体的には、2 億 5,140 万件のグループ化されたアラートが、抑制後は 2 億 1,100 万件に削減されました。
優先順位付け
アラートパイプラインの最終段階は「優先順位付け」です。XDRやEDRによる検知結果には、多くの場合、検知器よってハードコードされた深刻度が割り当てられています。この深刻度は必ずしも 100% 正確ではありませんが、アラートを次の 2 つのカテゴリに分類するために利用できます。
- 深刻度が「高」および「緊急」のアラート
- 深刻度が「中」およびそれ以下のアラート
より深刻度の高いアラートは、より複雑なモデルの学習に活用でき、中程度およびそれ以下のアラートは、モデルが脅威として識別した内容について、その後のコンテキストを提供するために残しておくことができます。2 億 1,100 万件のアラートのうち、13 万 8,917 件が深刻度「高」および「緊急」でした。
これらのアラートに対して、より複雑なアプローチを適用できるようになりました。6 か月分のデータから、約 180 万件のアラートからなるデータセットを用いて、グローバルな ML モデルを学習させました。
このアラート優先順位付け段階には 2 つの目的があります。
- 実際の脅威である確率が低いアラートを自動的にクローズする
- 脅威である確率が高いアラートの深刻度を引き上げる
アナリストの判断をラベルとして使用し、過去のデータに基づいて教師あり ML モデルを学習させました。このモデルには、静的特徴 (アラートに含まれるエンティティ数や MITRE テクニックなど) と動的特徴の両方が含まれていました。動的特徴は、類似したアラートにおける過去のインシデント発生率を特定することによって構築されました。例えば、以下の通りです。
- このクライアントに関して、過去に類似したアラートが調査されたか?他のクライアントではどうか?
- 過去 24 時間、過去 1 週間、または過去 1 か月間に、類似したアラートが調査されたか?
- 類似したエンティティは調査されたか?
これらの質問は比率としてエンコードされ、勾配ブースティング決定木分類器の特徴として活用されました。これにより、毎分観測される膨大な数のアラートに対してストリーミング形式での推論が可能となりました。
このモデルにおいて最も重要な追跡対象は、リアルタイムの監視指標でした。Labrèche は偽陰性 (見落とし) 率とアラート数の削減の両方を追跡し、モデルの予測におけるしきい値によって、アラート数の削減と引き換えにどれだけの偽陰性を許容できるかを決定しました。
ここでの「偽陰性」とは、実際には脅威であったにもかかわらず、誤って無害と判定されたアラートを指します。インシデントには通常、複数のアラートが関連付けられているため、偽陰性の数が少なければ許容範囲内ですが、偽陰性率が高くなると攻撃を完全に見落とすリスクが生じます。
このモデルをストリーミングで実行した結果、さらに 57,344 件のアラートが削減され、2 週間の最終的なアラート数は 81,573 件となりました。
この数値は依然多いように感じますが、複数の組織からのイベントが含まれています。各組織の平均アラート数は平均 50 件未満でした。
情報窃取型マルウェアの活動の特定
多段階パイプラインを実行したことで、2 週間で情報窃取型マルウェアの活動を特定できるようになりました。特定のお客様の残ったアラートを確認すると、次のように少数の脅威が確認されました。

図 2: あるお客様の残ったアラート
ここでは、アラートのタイトル、優先順位付けモデルが出力した確率、および検知器名が表示されています。その大半は、情報窃取型マルウェアの活動にリンクしているように見えます。しかし、ユーザー認証情報の窃取が疑われるアラートをさらに調査したところ、これらは誤検知であることが判明しました。複数のフィルタリングを経た後も、一部の無害なアラートや対応不要なアラートは残ってしまいます。しかし、「Possible theft of passwords (パスワード窃取の可能性)」という 2 件のアラートは脅威スコアが高く、さらなる調査が必要です。
ここで、同じユーザーかつ同じマシンで、時間的に近接して発生した中程度およびそれ以下の深刻度のアラートが重要な役割を果たします。アラートを調査する際、これらのアラートが脅威に関するコンテキストを提供してくれます。

図 3: 中程度およびそれ以下の深刻度のアラートを含めた場合。2 つのマルウェア検知アラートはいずれも脅威スコアが低い点に注目してください。これは誤検知であることが多いためですが、他の情報窃取型マルウェアのシグナルと併せて確認することで初めて、ユーザーのマシンが侵害されていると確信を持って判断できます。
この活動は、あるプログラム上の異常なシグナルから始まりましたが、その後に情報窃取型マルウェアの検知、そしてパスワード窃取の可能性を示す動作アラートが続きました。これが 2 回繰り返されたことで、このユーザーのマシンで情報窃取型マルウェアが動作しているという全体像が明確になりました。
この時点でソフォスはお客様に連絡し、攻撃を封じ込めるためのインシデント対応の手続きが開始されました。
結論
本調査は、大規模な今日の SOC において膨大な数のデータポイントに対処する際、多段階のアラートパイプラインを導入することで、悪意のある活動 (今回のケースでは情報窃取型マルウェア) を特定するタスクが大幅に管理しやすくなることを実証しています。
11.8 兆件のイベントから始まり、検知器、重複排除と相関分析、抑制、そして優先順位付けを採用する段階的なフィルタリングにより、その数は 81,573 件の「高」および「緊急」アラート (1 組織あたり平均 50 件未満) にまで絞り込まれました。
そうして残ったアラートを手動でトリアージした結果、残りの低深刻度アラートをコンテキストとして活用しながら、2 件の緊急アラートを通じて情報窃取型マルウェアの攻撃を特定することができました。
このアラートパイプラインに関する今後の取り組みとしては、単一のインシデントの一部として特定されたアラートのグループに適用できるよう、アラートの優先順位付け段階の適応を検討することなどが挙げられます。また、インシデント内のアラートの集計データから、さらに追加の機能を構築することも可能です。

