2019 年 2 月 28 日 (米国時間)、マイクロソフトは「マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 24 版(英語)」を公開しました。SIR は、進化する脅威のランドスケープに関して、IT プロフェッショナルや組織のセキュリティ責任者、政府、セキュリティ産業全体にとって信頼性が高く比類のない情報源として広く認知されています。このレポートは、一日 6.5 兆を超えるセキュリティ シグナルの分析や世界中の何千ものセキュリティ研究者の知見などから得られた脅威のランドスケープに関する広範な視野を基にした、業界の中で最も包括的なレポートの 1 つです。
第 24 版では、仮想通貨マイニング、フィッシング、サプライチェーン攻撃を含め、2018 年のいくつかの主な脅威の傾向と共に、脅威の研究や保護に関する推奨を基にした考察も紹介しています。また、今回初となりますが、PDF 版のレポートだけでなく、オンライン上のインタラクティブ版(英語)のレポートも公開し、時間や国別でデータを動的にフィルターして掘り下げて分析することができるようになっています。
主なトレンド:
- フィッシング攻撃は引き続き攻撃者に好まれる: 機械学習によりフィッシング攻撃が成功するリスクは低減しているものの、フィッシング攻撃は依然としてよく利用される手法であり攻撃回数も継続的に増加しています。ランサムウェア同様、攻撃者はより洗練された保護ツールや新しい技術に対抗して手法を変えてきています。今回のレポートではこの新たな手法の詳細を紹介しています。
- 仮想通貨マイニングの流行: ランサムウェア攻撃が減少傾向にある一方で、仮想通貨マイニングに関わる攻撃が増加しています。サイバー犯罪者はユーザーが気づかないところでマルウェアを動作させユーザーのコンピュータのリソースを仮想通貨マイニングに消費させています。今回のレポートではこの仕組みや関連要素についての概要をまとめています。
- サプライチェーンにおける危険: サプライチェーンを利用した攻撃は、正規のアプリケーションや更新パッケージに悪意のあるコンポーネントを入れ込むというもので、ベンダーへの信頼を逆手に取った手法であり検出も容易ではありません。ソフトウェアのサプライチェーンのみならずハードウェアのサプライチェーンも危険な状況です。さらに、クラウドをベースとした切り口もあり、サプライチェーン攻撃は広範な脅威となっています。今回のレポートではいくつかの例とともにこの攻撃を防ぐための取り組みも紹介しています。
なお、日本の特徴についてまとめた資料はこちらからダウンロードいただけます。
―――――――――――――――――――
以下、2019 年 2 月 28 日に米国で公開されたブログの抄訳をベースにしています。
Microsoft Security Intelligence Report (SIR) 第 24 版が発行されました。今年は、PDF(英語) 版に加え、データをフィルターにかけたり掘り下げたりするツールを使用できるオンライン上のインタラクティブ版(英語)も提供しています。
今回のレポートは、昨年のセキュリティ関連の案件を反映したもので、セキュリティ環境の概要や現場で得た教訓、推奨されるベストプラクティスなどが含まれています。通貨のマイニングやサプライチェーン攻撃の増加といったトレンドを懸念する人もいるかもしれませんが、セキュリティコミュニティが採用してきた防御手法の成果を知り、勇気づけられる人もいると思います。悪意のある実行者が戦術を変えなくてはならない状況に陥っていることがわかる証拠もつかんでいます。
今回のレポートを作成するにあたり、SIR チームでは複数の幅広い情報源より集めた 1 年分に匹敵するデータから、中核となる知見や主要なトレンドを選び出しました。我々は、日々マイクロソフトのクラウドを飛び交うセキュリティの警告を 6 兆 5,000 億件ほど分析しました。また、世界中に広がる数千人のセキュリティ研究者による知見を集約したほか、Ursnif キャンペーン活動や Dofoil 通貨マイニング攻撃の勃発など、実世界の経験からも教訓を得ています。数多くのことが起こっていますが、SIR チームではデータを抽出し、以下の 4 つの主要トレンドとして集約しました。
- ランサムウェア攻撃の減少傾向
- 仮想通貨マイニングが普及
- ソフトウェアサプライチェーンに潜む危機
- 攻撃者が好む手法は未だフィッシング
ランサムウェア攻撃の減少傾向
2018 年のデータでは、ランサムウェア攻撃が減少しました。これは、セキュリティコミュニティが悪意のある実行者を正そうと取り組んだ成果だといえます。昨年のレポートでは、ランサムウェアが 2017 年のデータで大きな脅威となったことを強調したばかりでした。そのため、今回ランサムウェアが減少したことは注目に値します。攻撃者は、ランサムウェアのようによく目につく手法から、より目につきにくいステルス攻撃に移行したと思われます。これは、ユーザーがより懸命に対応できるようになってきたことが理由であるといえます。
仮想通貨マイニングが普及
ランサムウェアの減少は朗報ですが、一方で、仮想通貨マイニングが普及してきています。これは、攻撃者がランサムウェアの代わりに 展開した手法のひとつです。通貨マイニングで利益を得るには、複雑な計算を実行するため、膨大な演算能力が必要となります。そのため、攻撃者は、ユーザーのコンピュータにマルウェアをインストールし、必要な演算能力を盗むのです。SIR レポートでは、仮想通貨の仕組みや、このトレンドを促進している他の要因についてもわかりやすくまとめています。
ソフトウェアサプライチェーンに潜む危機
もうひとつマイクロソフトで長年にわたって調査してきたトレンドがあります。それは、ソフトウェアサプライチェーン攻撃です。攻撃者が使う手のひとつとして、感染したコンポーネントを正規のアプリケーションやアップデートのパッケージに組み込み、ソフトウェアユーザーに配布する手法があります。こうした攻撃は、ソフトウェアベンダーに対するユーザーの信頼心を悪用するため、検知も非常に困難です。レポートでは、Dofoil キャンペーンなどの例を複数紹介しており、こうした種類の攻撃が広範囲に及んでいる状況を示すと共に、その防御法と対処法についても触れています。
攻撃者が好む手法は未だフィッシング
フィッシングが今後も一般的な攻撃手法であり続けることはあまり驚くに値せず、当面はこの状況が続くと思われます。ここで朗報です。ランサムウェアと同様に、悪意のある実行者も、ユーザーの保護を目的に導入された最先端ツールや手法に対抗して戦術を変えていますが、今回のレポートでは新たなフィッシング手法に関する詳細を明らかにしています。この情報を活用し、攻撃者から身を守るための戦いに役立ててほしいと思います。
詳細について
私が以前現場にいた頃は、このようなレポート(英語)を探して攻撃者の手法をより深く理解し、それに応じて防御計画を立てていました。その際と同様に、今回のレポートで集約した知見やヒント、ベストプラクティスなどがお役に立てば幸いです。ぜひ、Microsoft Security Intelligence Report (SIR)(英語) 第 24 版をダウンロードしていただき、インタラクティブウェブサイト(英語)において、ご自身の地域に即したデータを詳しく探ってみてください。サイトは毎月更新されるため、年間を通じて常に最新のデータや知見が入手できます。
また、3 月後半には、私と私の同僚であるジョナサン トラル (Jonathan Trull) でウェビナー(英語)を開催する予定です。同ウェビナーでは、このトレンドをより詳しく分析し、組織の保護に役立つベストプラクティスについてお話しします。
SIR は、マイクロソフトの幅広いセキュリティ運用作業の一貫として入手したインテリジェンスや知見を共有するものですが、それだけがすべてではありません。また、あわせて公開している 「クラウドテクノロジーを活用した新しいサイバーセキュリティソリューションを発表」をご確認ください。これは、防御担当者が最新のセキュリティインテリジェンスや保護施策を活用できるようにするものであり、進化を続けるサイバーセキュリティの世界で最先端の状態を維持できるよう支援するためのものです。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
