Splunk が発表した PLoB (Post-Logon Behavior):APT による認証情報の悪用を素早く発見

Splunk Unveils PLoB Tool to Detect Compromised Credential Usage

2025/08/07 gbhackers — Splunk が導入した PLoB (Post-Logon Behavior Fingerprinting and Detection) は、認証情報の不正使用を素早く検出するためのものだ。サイバー・セキュリティ・インシデントの半数以上において、侵害された認証情報が初期アクセスの主要なベクターになると、Cisco Talos IR Trends report for Q1 2025 は指摘している。また、Verizon の Data Breach Investigations Report では、認証情報の不正使用が、侵害の 22% に関連していると裏付けられている。

PLoB の目的は、ログオン後の重要な時間帯における、認証情報の不正使用を示唆する異常なアクティビティを特定し、ネットワーク内部に攻撃者が潜伏する前に、脅威を検出するところにある。特に、正規の認証情報を用いて長期間にわたり検知を回避する、高度な APT (advanced persistent threats) に対抗するために開発されたものだ。

具体的に言うと、グラフベースのモデリング/AI 埋め込み/ベクター類似性検索を組み合わせた上で、既存のルールベース/行動ベース/AI 駆動型の検出 (LoL 手法を見落とす可能性がある) などを補完するレイヤーとして機能する。

技術アーキテクチャ

最初に PLoB は、Splunk などの SIEM システムから生セキュリティ・ログを取得し、ユーザー/ホスト/セッション/プロセス間の関係を把握するための、Neo4j グラフ・データベースに変換する。それにより防御側は、線形イベント・リストからリレーショナル・ナラティブへと移行し、ログオン・イベントからプロセス・ツリーを追跡するなどの、敵対的な思考を反映したクエリを可能にする。

Compromised Credential
Anomaly detection image

このモデルを基にする PLoB は、コマンドの新規性/自動化を示す実行速度/過剰なプロセス生成などの構造的な異常を抽出し、簡潔なテキスト・サマリーである行動フィンガープリントを生成する。生成されたフィンガープリントは、OpenAI の text-embedding-3-large モデルにより 3072 次元ベクターへ変換され、意味的なニュアンスをエンコードした正確な行動表現を実現する。

Compromised Credential
Fingerprint image

これらのフィンガープリントは、Milvus ベクター・データベースに保存され、コサイン類似度による効率的な検索により、セッションを 0〜1 でスコア化し、外れ値 (0.92 未満のユニークな行動) やクラスター (0.99 超の疑わしい反復パターンやスクリプト攻撃を示唆) を特定する。

このシステムの有効性は、重要なシグナルを増幅する洗練されたフィンガープリント・エンジニアリングに由来し、悪意の LoL アクティビティと無害な管理タスクが混在する、初期障害への対処を効率化する。

新規実行ファイルや高速タイミングなどの、疑わしい要素を優先的に分析することで、見極めが微妙とされる脅威を適切に識別し、データ・ドリフトの中で感度と誤検知のバランスをとるように、しきい値を調整していく。

そこで判別された異常なセッションは、Cisco の Foundation Sec モデルや OpenAI の GPT-4o をベースとする AI エージェントにより解析される。これらのエージェントは異常の種類に応じたコンテキスト認識プロンプトを受け取り、外れ値の一意性やクラスターの反復に注目し、構造化されたリスク評価と推論を JSON 形式で出力する。

従来の防御との比較

従来からの検出手法は、ベースラインや学習データに依存するため、新規の脅威や自動化された脅威を見逃す可能性がある。その一方で PLoB は、ログオン直後に焦点を絞る軽量設計により、大量の履歴データを必要とすることなく、迅速な分析結果を提供する。

このグラフからベクターへのパイプラインは、調査を加速するだけでなく、プロアクティブなハンティングと可視化を支援することで、”防御側はリストに限定され、攻撃者はグラフを悪用する” という考え方に挑戦するものでもある。

Splunk のレポートによると、同社の取り組みで強調されるのは、蔓延する認証情報のリスクを管理するための、現実のデータ課題とコラボレーションに基づく、適応型ツールの必要性であるという。

Mandiant の M-Trends 2025 レポートでも、窃取された認証情報の悪用がフィッシングを上回り、初期攻撃経路の 16% を占めていると指摘されている。

進化する APT の戦術に対抗する PLoB は、スケーラブルでオープンなフレームワークを提供し、高リスク環境における侵害の軽減に寄与すると思われる。

Splunk が開発した、PLoB という新しい検出ツールの仕組みが丁寧に説明されています。そこで注目されるのは、侵害された認証情報が長期間にわたり使われ続けることです。したがって PLoB は、ログオン直後のユーザー行動を分析し、通常とは異なるコマンド実行やプロセス生成などを見つけ出すために開発されたと、この記事は指摘しています。期待できそうな考え方ですね。よろしければ、Splunk で検索も、ご参照ください。