Entry № 452
見逃し
見逃し とは何ですか?
見逃し検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。
見逃しは検知の静かな失敗です。実際の攻撃が起きてもアラートが上がらず、アナリストは対応の機会を得られません。原因にはログソースの欠落、攻撃者によるシグネチャ回避、範囲が狭すぎる検知、壊れたパイプライン、時間窓のギャップ、Living-off-the-Land や暗号化された C2 などの手法があります。見逃しは定義上見えないため誤検知より計測が難しいのが特徴です。対策には Purple Team 演習、BAS、MITRE ATT&CK によるカバレッジマッピング、検知の単体テスト、テレメトリギャップの継続的な棚卸しがあります。
● 例
- 01
攻撃者が署名済み Windows バイナリ(LOLBins)を悪用し、どのシグネチャにもヒットしないコマンドを実行する。
- 02
新種マルウェアが TLS の C2 通信をプロキシで復号検査されず見逃される。
● よくある質問
見逃し とは何ですか?
検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
見逃し とはどういう意味ですか?
検知が捕捉できなかった悪性活動。脅威が気付かれず進行し、攻撃者は検知されないまま行動を継続できる。
見逃し からどのように防御しますか?
見逃し に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
見逃し の別名は何ですか?
一般的な別名: FN, 検知漏れ。