脅威ハンティングは、申し分なくプロアクティブな数少ないセキュリティプラクティスの1つです。重要なのは、警告が注意を促すのを待つのではなく、検出をすり抜けた攻撃者の行動を探すことです。ブランディングの問題は、ほとんどの環境で、脅威ハンティングも遅く、面倒で、コストがかかることです。これまで、セキュリティチームは検索を基本的に上達させるのに時間を費やしてきました。SIEM クエリ、検出ルール、ダッシュボードが改善されたにもかかわらず、インシデントタイムラインは同じようにまとめられています。アナリストはケースを開き、さまざまなツールを巡回し、手動で証拠を収集し、詳細を書き留め、上級アナリストにセカンドオピニオンを求めます。その後、このサイクルが繰り返されます。AI への移行に伴って、基本は変わりませんが、ワークフローの面倒な部分は後押しされます。
「バイブハンティング」は、新しいクールなアイテムです。
「バイブコーディング」が意図を表現し、AIに機械的な作業を任せることだとしたら、バイブハンティングは脅威ハンティングにも適用されるのと同じ変化です。「どのクエリを書くべきか」という観点から考えるのをやめて、「自分の環境でどんな話が起きているのか、それを証明するには何が必要か」と考え始めるのです。
バイブハンティングとは、AI SOC プラットフォームがハンティングプロセスを大幅に圧縮しすぎて、スケジュールした特別なイベントのようには感じられなくなり、本能が動揺するたびにできることのように感じられるようになったときに起こることです。四半期ごとの取り組みではありません。パープル・チーム・リチュアルではありません。ただ速く、繰り返し可能な動きだ。
そして、はい、CISOでもハントに参加できるのはとても簡単です
この記事では、アクシオスNPMサプライチェーン攻撃に関する実際のケーススタディを通じて、Blue Teamersが実際にバイブハンティングを検知、脅威ハンティング、インシデント対応にどのように適用できるかを示します。ワークフローを合理化し、時間を節約し、結果を向上させる方法と、それを実際に機能させるためのExaforceのアプローチを探ります。
伝統的な世界における脅威ハンティング
信頼できる情報源は、脅威ハンティングは実践者主導で仮説主導で行われるべきだと言っている点でかなり一貫しています。 フォレスター これを「人間主導の演習」と明確に表現し、「検出機能を回避する攻撃を見つけるための、実践者主導の、仮説主導の演習」と定義しています。それが理想です。現実には、「人間主導」の部分はしばしば「人的負担」になる。なぜなら、狩猟には通常以下が必要だからだ。
1。ログ統合
効果的なハンティングには、包括的なテレメトリーが必要です。ID、エンドポイント、SaaS、クラウドコントロールプレーン、ネットワーク、電子メール、DNS にまたがってデータを取り込み、可視性のギャップを解消します。
2。相関関係とエンリッチメント
未処理のイベントを実行可能なインテリジェンスに変換します。これには、フィールドの正規化、データの重複排除、アクションを特定の動作にマッピングすることが含まれます。アナリストは、異なるツールやスキーマ間でセッションをつなぎ合わせながら、IP やハッシュなどの指標を強化する必要があります。
3。IOC ハンティング
新しい脅威情報に従って侵害の兆候を検索してください。ファイルハッシュ、悪質なドメイン、IP アドレス、プロセス名などの特定のエンティティについて環境を照会し、影響を判断します。
4。ハントオートメーション
プレイブックを使用して、クエリ、アーティファクトの取得、チケット作成などの予測可能なタスクを自動化します。自動化によってデータ収集が加速する一方で、調査結果を解釈し、特定の環境状況における関連するアーティファクトを特定するには、やはり人間のアナリストが必要です。
5。レスポンス
爆発半径を検証し、命中が確認された証拠を収集します。脅威を無力化するために、ワークロードの分離や認証情報のリセットなどの修復作業を調整する。
バイブハンティングの台頭
LLMエージェントは、このダイナミクスを有意義な方法で変え始めています。エージェントは、人間が次のクエリを苦労して作成し、デバッグし、ドキュメントを読む代わりに、必要なものを微調整するだけで、自動的にクエリを生成できます。しかし、このアプローチでも、複数のシステムがイベントを生成するという課題に直面していますが、それでも手動でのピボットが必要です。SIEM がすべてのユーザーシステムおよびサービスからイベントを収集するように設定されている場合でも、脅威ハンターは複数のデータソースを巡回して相互に関連付け、攻撃者が環境内をどのように移動するかを理解する必要があります。
しかし、LLMエージェントは、適切なコンテキストがなければ、自律的にデータを正確につなぎ合わせることができません。本当に信頼できる存在であるためには、知識という強固な基盤とセマンティックレイヤーを基盤とする必要があります。これにより、データソースを横断して推論し、プロセス実行ログ、ネットワークフロー、既知の TTP を相互に関連付け、疑わしいパターンを検出し、実行可能なリードをわずかな時間で生成できます。このセマンティックレイヤーは、AIを単なる質問に答えるだけのものから、コンテキストを失うことなく、キルチェーン全体をワーキングメモリに保持でき、エスカレーションのタイミングを把握できる、飽きのこないアナリストへと変えます。
ケーススタディ:Axios npm サプライチェーンの妥協
ライブアタックに対する様子は次のとおりです。サプライチェーン攻撃が再び発生しました。Npmは精査中です。 再び 1年足らずで。この2026年3月の攻撃で何が起こったのかを詳しく見てみましょう。
2026年3月31日、広く使用されているJavaScriptライブラリAxiosがサプライチェーン攻撃で侵害され、何百万人もの開発者、CI/CDパイプライン、および本番システムが危険にさらされました。Axios はウェブリクエストを作成するためのコアライブラリで、1 週間に最大 1 億回、平均で 8,000 万回ダウンロードされ、さまざまな業界の Web アプリ、モバイルアプリ、バックエンドサービスに組み込まれています。
攻撃者はAxiosのメンテナーの公開認証情報にアクセスし、隠れた悪意のある依存関係であるplain-crypto-jsを含むポイズンバージョン1.14.1と0.30.4をリリースしました。このマルウェアは機密認証情報 (クラウドキー、API トークン、データベースパスワード) を盗み、永続的なアクセスを可能にするリモートアクセス型トロイの木馬 (RAT) をインストールしました。
悪意のあるバージョンが公開されたのはわずか2〜3時間でしたが、その間、Axiosをインストールしているすべてのシステムが侵害される可能性がありました。
バイブハンティングの実践:攻撃の影響の追跡
アクシオスの攻撃キャンペーンが始まったら、ExaforceがどのようにVibe Huntingを実行に移すかを探る時が来ました。
ステップ 1: 狩りの計画を立てる
これは、バイブコーディングと同じように、おそらくバイブハンティングの最も重要な部分です。AI エージェントが最善を尽くすのは、よく考え抜かれた計画があるときです。この計画を構築する最善のアプローチは、エージェントと協力することです。当社のエクサボットは、このような計画を立てることができます。この場合は、まずエクサボットにStepSecurityのスタッフからのブログを読むように依頼します (https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan)は、IOCの包括的なリストを使用して攻撃の詳細をうまくまとめました。
この場合、Exabot Searchは、提供されたブログを読むことで最初の脅威ハンティングプロンプトを思いつき、IOCを細かく分類して、アクセスできるさまざまなテレメトリソースを検索します。最初のプロンプトを見た後、影響を受けるnpmパッケージのバージョンピニングが有効になっているかどうかを確認することも重要だと気付きました。有効になっていないと、影響が及ぶ可能性がはるかに大きくなるからです。この計画段階で、プロンプトを絞り込めるようになりました。
ステップ 2: ハントを実行する
ここが、Exaforceデータプラットフォームの魔法が本当に発揮されるところです。ご想像のとおり、この特定のハントでは、エンドポイント、ネットワーク、CI/CD ツールなど、さまざまなソースからのデータを確認する必要があります。さらに重要なのは、私たちが探しているデータの種類はイベントだけでなく、GitHub にある npm パッケージ情報であるということです。SIEM では、このような広範囲にわたるハントを行うことは不可能です。Exaforce データプラットフォームは、イベント、ID、リソース、コードコンテキストを取り込み、正規化されたデータスキーマを使用してこのデータのナレッジグラフを作成します。Exabot Searchには、ハンティング中にこのデータを照会できるツールがあります。
ステップ 3: 結果を確認してフォローアップする
結果が出たら、さらに深く掘り下げる必要がある分野があるかどうか、フォローアップの質問をすることができます。この例では、環境内のユーザーの 1 人が IOC と一致していることが判明したため、「緊急」とマークされています。中程度の結果では、既知の不良ドメインの 1 つを DNS ルックアップし、それが有効なドメインであることを確認しただけのユーザーです。
この特定のユーザーの調査に軸足を移し、このユーザーが実行したアクティビティのコンテキストをさらに把握して、ハンティングに役立てることができます。これには、BI のようなインターフェースを備えた詳細なユーザーダッシュボードにピボットし、追加のフィルタリング機能やクロスフィルタリング機能を使ってデータを操作できる機能が含まれます。
ステップ 4: ケースを作成する
狩りをするときは、追加の詳細を明らかにしながら情報を収集することも非常に重要です。Exabot検索では、ケースを開いてハントの詳細を保存するように指示できます。
ステップ 5: ループ
ハンティングフェーズとレスポンスフェーズがすべて完了したら、定期的に実行して環境内で発生する可能性のある攻撃をチェックするスキャンが必要です。この目的のために、Exaforceは自動化エージェントを提供しています。これは、脅威検出などの特定のトリガー、時間、またはイベントに基づいて自動タスクを実行できる機能です。
上記の自動化エージェントは1時間ごとに起動し、タスクエージェントと呼ばれるワークフローの特別なノードを介して先ほど思いついたプロンプトを実行し、環境内の潜在的なIOCを検索し、その結果を含むPDFレポートを電子メールでセキュリティチームに送信するように指示します。これは基本的に、潜在的な侵害指標を定期的にチェックする SOC エンジニアの役割とまったく同じです。
ステップ 6: 検出を作成する
監視する指標をいくつか特定したので、後でカスタム検出ルールを構築するために使用できる検索クエリを作成できます。これにより、環境内で今後発生する攻撃を検知できます。
独自のルールを作成することも、Exabotに作成を依頼して、それを実行して悪意のあるイベントのリストを取得することもできます。
クエリは検出ルールに変換でき、トリガーされると脅威検出を作成できます。その後、この脅威検出結果をエージェントが検証し、サイクルを完了できます。私たちはまず脅威検出から始め、それをエージェントと検証し、分析し、脅威アクターを探し、攻撃に対応し、新しい検出を実装しました。そして今、新しい脅威検出結果が出るのを待っています。これにより、処理すべきデータがさらに増えました。
評決:思考の速さでの狩り
従来の脅威ハンティングは摩擦との戦いです。90% の時間を、シンタックス、コンソール間の切り替え、手動によるデータ正規化に費やしており、実際の分析に費やす時間は 10% にすぎません。これは待ち時間が長いプロセスであり、結果が「古い」結果になることがよくあります。
徹底したセマンティックレイヤーとAIエージェントであるVibe Huntingを活用することで、ハントの機械的な負担が軽減されます。あなたは「クエリビルダー」から「ストーリーテラー」へと移行します。ツールが関連づけ、情報強化、タイムラインの再構築を行うようになれば、ハントは予定された雑用ではなくなり、継続的かつ本能的に反映されるようになります。
バイブハンティングがクエリに勝る理由
直感主導型、人工知能実行: あなたは仮説(「私の開発環境から異常な横方向の動きはありますか?」)を提示します。; マルチツールのテレメトリーステッチは AI が処理します。
ゼロダウンタイムインテリジェンス: Axiosのケーススタディで示されているように、以前は手作業による調査とIOCマッチングに何時間もかかっていたことが、今では数分で完了します。
スケーラブルな専門知識: ジュニアアナリストとシニアハンターのギャップを埋めます。「方法」を自動化することで、チームは「なぜ」に集中できます。
継続的な警戒: 永続的な自動化エージェントを通じて、環境の「雰囲気」が1時間ごとに監視され、1回限りの狩猟が恒久的な防御姿勢に変わります。
アクシオスのようなサプライチェーン攻撃が2時間でシステムを危険にさらす可能性がある世界では、4時間のハンティングワークフローをする余裕はありません。現代の脅威のスピードに追いつくには、バイブハンティングしかありません。
