攻撃があっても動じない IT 環境のカタチ: Security Posture

マイクロソフトセキュリティエンドポイント脅威レポート 2019 と

COVID-19 関連のサイバー攻撃の傾向から見えるこれからのセキュリティ

日本マイクロソフト株式会社
技術統括室チーフセキュリティオフィサー
河野省二

マイクロソフトでは、セキュリティエンドポイント脅威レポート 2019 ^[1] を発表し、アジア太平洋地域の調査結果を明らかにしました。この調査結果や最近の COVID-19 関連の攻撃傾向を基に、マイクロソフトが考える今後のセキュリティの在り方について共有したいと思います。

セキュリティ防御が進化し、攻撃者が新たな手法を採用する中、マイクロソフトでは日々何十億もの脅威シグナルに独自にアクセスしてデータや知見を収集し、サイバー攻撃への対応を報告しています。マイクロソフトのセキュリティエンドポイント脅威レポート 2019 は、進化する脅威状況をより深く理解し、高度化が進む攻撃の影響を軽減させて組織のサイバーセキュリティ体制の改善につなげてもらうことを目指し、マイクロソフトのデータソースを分析・調査結果をレポートとしてまとめたもので、マイクロソフトが日々受信し分析している 1 日 8 兆件もの脅威シグナルが含まれています。対象となった期間は、2019 年 1 月から 12 月です。

日本でマルウェアやランサムウェアの遭遇率が過去最低

日本では 4 つの脅威カテゴリのうち、暗号通貨マイニング、ランサムウェア、マルウェアという 3 つの脅威の遭遇率がアジアの中で昨年最も低かったことがわかりました。

アジア太平洋地域では引き続きマルウェアとランサムウェア攻撃の遭遇率が世界の他の国の平均を上回っており、マルウェア遭遇率が 1.6 倍、ランサムウェア遭遇率が 1.7 倍となっています。一方、日本ではランサムウェア・マルウェアともにアジア地域内で最も低くなっています。

アジアでの遭遇率が高い原因は、フィルタリングなどを活用した多層防御が出来ていない点にあると考えられています。また、事故が顕在化する理由としては、ソフトウェアや OS の海賊版使用の比率や、定期的なパッチ適用および更新ができていないことにもあるようです。攻撃の対象となる脆弱性のない状態であるサイバーハイジーンの全般的な環境の実現が強く望まれます。

[1] 調査対象となったのは合計 15 市場で、Developing market が中国、インド、インドネシア、マレーシア、フィリピン、スリランカ、タイ、ベトナム、Developed market が台湾、シンガポール、ニュージーランド、韓国、日本、香港、オーストラリアです。市場の分類は、2018 年 10 月の国際通貨基金世界経済データベース (International Monetary Fund’s World Economic Database, October 2018) に基づいています。

調査では、海賊版の使用比率が低く、サイバーハイジーン対応の徹底を意識した国では、攻撃の成功率が大幅に減少していることが明らかになりました。

日本では、脅威の遭遇率は低かったものの、だからといってサイバー犯罪者がターゲットにしないわけではありませんので、安心はできません。攻撃者は従来の手法から、特定の地域や業界、企業を対象にカスタマイズした攻撃作戦へとシフトしていることがわかっています。クラウドテクノロジを活用し、包括的かつ動的なサイバーレジリエンス戦略、すなわち被害を最小限にしながら IT サービスを継続するための戦略をしっかり策定することで、効果的なサイバーセキュリティ戦略の強化につながると考えています。

日本の暗号通貨マイニング遭遇率がアジア太平洋地域で最も低い結果に

暗号通貨マイニング攻撃では、被害者のコンピュータが暗号通貨をマイニングするマルウェアに感染し、犯罪者は被害者が気づかない間にそのコンピュータリソースを悪用します。2019 年における日本の暗号通貨マイニングの遭遇率もアジア地域全体と比較すると最も低く、更に 2018 年よりも減少していることがわかりました。

この攻撃の遭遇率が低下している理由の一つとして考えられるのは、サイバー犯罪者は通常、手っ取り早く金銭的利益が得られることを活動の動機としているということです。最近では暗号通貨の価値が大きく変動しており、暗号通貨の生成にもより時間がかかるようになったことから、犯罪者はおそらく他の形態のサイバー犯罪に目を向けるようになったのではないかと考えられます。

2019 年、ドライブバイダウンロード攻撃の増加に直面した日本

ドライブバイダウンロード攻撃では、ウェブサイトを訪問したりフォームを入力したりした際に、警戒心のないユーザーのコンピュータに悪質なコード (スクリプトやプログラム) をダウンロードします。ダウンロードされた悪質なコードは、攻撃者がパスワードや金融情報を盗み出すために利用されます。アジア太平洋地域におけるドライブバイダウンロード攻撃の数 ^[2]は、世界の他の地域と同様収束しつつあります。

[2] セキュリティエンドポイント脅威レポートでは、Bing でインデックスされた 1000 ページごとに、検出したドライブバイダウンロードの平均ページ数を記録しています。

アジア太平洋地域では全般的にドライブバイダウンロード攻撃が減少傾向にありますが、今回の調査では、同地域のビジネスの中心地となるシンガポールと香港でこの種の攻撃の数が 2019 年に最高値を記録し、同地域と世界平均の 3 倍以上となったことが明らかになりました。これはシンガポールや香港がアジア太平洋地域の金融のハブになっているからだと予測されます。

日本でも同様に、2019 年のドライブバイダウンロード攻撃数が増加していることを確認しています。
その他の攻撃と異なり、IT 環境が充実し、オンラインでのサービス利用の多い国に被害が及んでいるようです。

COVID-19 時代のサイバーセキュリティ

2020 年に入り、COVID-19 が状況を一変させ、世界中の個人や組織、政府が今でも COVID-19 の感染拡大の抑制を最大の懸念材料として捉えています。

COVID-19 発生以降、Microsoft Intelligence Protection チームのデータによると、世界中すべての国で少なくとも一度は COVID-19 に乗じた攻撃が発生し、同ウイルスの影響を受けた国での攻撃の成功件数も、恐怖心や情報への欲求が高まるにつれ増加傾向にあることがわかっています。

世界では日々何百万通もの標的型フィッシングメッセージが確認されていますが、そのうち約 6 万通に COVID-19 に関係するキーワードを含む悪質な添付ファイルや URL が含まれています。攻撃者は、世界保健機関 (WHO) や米国疾病管理予防センター (CDC)、保健省といった正規機関になりすまし、メールボックスに侵入しているのです。

日本でも、2 月初めから 5 月 2 日までの期間で 14,000 を超える COVID-19 に乗じた攻撃を確認しています。これら COVID-19 関連の脅威の多くは、既存の攻撃を少し変更してパンデミックに関連づけていることがわかっています。つまり攻撃者は、ランサムウェアやフィッシング、その他のマルウェア配信ツールなど、既存のインフラを軸に COVID-19 というキーワードを入れ、人々の恐怖心で収益を上げようとしているのです。ユーザーがこうした悪質なリンクをクリックすると、攻撃者はネットワークに侵入し、情報を盗み出して攻撃を収益化できてしまうため、日本の企業や組織はより一層の対策が講じることが重要となります。

2020 年の東京オリンピック開催を見越し、更なるセキュリティ対策を検討していた株式会社 TKC 様では、今回の COVID-19 を受け、在宅勤務やテレワークなどを見越したゼロトラストの概念に基づくセキュリティソリューションとして Microsoft 365 E5 を採用しています。複数のセキュリティツールの統合、外部侵入リスクの低減はもとより、Power BI や Power Automate などのツールも積極的に活用することで、セキュリティを強固なものとしながら社内のデジタルトランスフォーメーションをさらに加速していく予定です。

マイクロソフトが提案する攻撃に強い IT 環境の構築「Security Posture」

今回のレポートで報告されたとおり、攻撃ごとの対策を行うよりも、サイバーハイジーン、つまり脆弱性のない状況を作り上げ、それを維持することが効果的です。まさに TKC 様が目指すセキュリティ対策はこの Security Posture に基づいた考え方とも言えます。

デジタルトランスフォーメーションによってガバナンス能力を高めた組織では、資産の管理が敵に行われていることが予想されるため、この対策がより効果的に機能します。

マイクロソフトでは、「Security Posture」というキーワードで、この環境を構築し、維持し、さらに改善していけるように推進していきます。ここで重要なのは、Cyber Security Posture とセキュリティに限定しないのは、内部不正対策や、様々なハラスメントなどの社内トラブルへの対策も含めて対応していくことが可能であると確信しているためです。 Security Posture では次の2つの視点が重要となります。

1 つ目はセキュリティガバナンスです。

すべての資産を把握するためのデジタルトランスフォーメーション。そしてその構成を管理しながら、脆弱性の有無を把握し、軽減することで、攻撃されても事故に発展しない、被害が拡大しない環境をサイバーハイジーンとして構築します。そのために必要な考え方がゼロトラストになります。動的なポリシーを活用した対応によって、常に脆弱性を許容範囲内に収めることが可能になります。

2 つ目はインシデントレスポンスの軽量化です。

インシデント対応はセキュリティオペレーションの目的ではありません。迅速な対応を行うことで、レジリエンス能力を高め、事業継続を実現することが目的です。まずは情報収集と判断を迅速に行うために、脅威インテリジェンスを活用します。自らの組織外の状況を把握し、自らの対策に役立てることで、予兆管理や事前対策も実施できます。そして、インシデントの調査や、対応の自動化のためのスクリプトの共有を行うことで、SOC や CSIRT にかかる人的コストの削減、対応の迅速化などを実現します。共有されたインテリジェンスや自動化スクリプトを多くの組織が活用することによって、さらにそれが改善され、世界中の IT 環境における学習と成長に貢献します。これは Modern SOC と呼ばれています。

2 つの視点を融合し、さらに成熟度をあげていくための環境を Security Posture として皆様と共に作り上げていきたいと考えています。すでに Microsoft 365 で実現しているこの環境を、Azure や IoT の世界にも広げながら、共通のダッシュボード、インテリジェンスを活用できるようにご提供予定です。
今後も、マイクロソフトはこのようなレポート結果を提供し続けるだけでなく、Security Posture の考え方に基づいて、お客様のデジタルトランスフォーメーションとセキュリティの双方を高めるための戦略・計画づくりのお手伝いをさせていただきたいと考えています。

最後に、サイバー空間を安全に利用するにあたっては、企業も個人も重要な役割を担っています。そこで、次のような対応をお勧めします。これらの内容は日本ではすでに行われている内容ですが、アジア太平洋全体でのビジネス推進のために、今一度ご確認いただければと思います。

企業向けの対応:

従業員とインフラを保護する強力なセキュリティツールを利用してください。具体的には、多層防御システムを検討し、従業員が在宅勤務する際には多要素認証 (MFA) を前提としましょう。また、シャドー IT や無許可アプリの利用対策として、Microsoft Cloud App Security などのエンドポイント保護ソリューションを活用にしましょう。
従業員向けのセキュリティガイドラインを徹底しましょう。フィッシング詐欺の見分け方や、正式な情報や企業ポリシーに反する不審なメールなどを区別する方法、またこうしたものを発見した際の社内での報告先などもガイドラインに含んでおくことが重要です。
ファイル共有や、音声・ビデオ通話、会議システムにおいては、エンドツーエンドの暗号化によって、データの所有者が自らセキュリティを確保できるような信頼できるアプリケーションを使いましょう。

個人向けの対応:

すべてのデバイスを最新のセキュリティアップデートで更新して最新の状態に保ちながら、マルウェア対策サービスを利用してください。Windows 10 デバイスであれば、Microsoft Defender Antivirus が無料で搭載されていますので、設定をオンにするだけで簡単に利用できます。
不審なリンクや添付ファイルに気をつけましょう。特に知らない人から送られてきたものは要注意です。これらのリンクやファイルに遭遇した際には、正規のホームページなどからベンダーに連絡をしてください。皆さんの情報が集まることで、社会全体としての保護能力が高まります。
すべてのアカウントで多要素認証 (MFA) を利用してください。現在では多くのオンラインサービスで、モバイルデバイスや顔認証、指紋認証など、様々な方法を使った MFA によるアカウント保護を実施しています。

マイクロソフトセキュリティインテリジェンスのサイトでは、調査結果の詳細を掲載しています。詳しくは、https://www.microsoft.com/securityinsights (英語) をご覧ください。

攻撃があっても動じない IT 環境のカタチ: Security Posture

マイクロソフト セキュリティエンドポイント脅威レポート 2019 と

COVID-19 関連のサイバー攻撃の傾向から見えるこれからのセキュリティ

関連記事

マイクロソフトセキュリティエンドポイント脅威レポート 2019 と