マイクロソフト、エンドポイントの脅威レポートの最新版

日本マイクロソフトは6月18日、マイクロソフトセキュリティエンドポイント脅威レポートの最新版の結果を紹介すると共に、マイクロソフトのセキュリティソリューションなどの紹介を行った。

セキュリティエンドポイント脅威レポート2019は、マイクロソフトが日々受信している1日8兆件以上の脅威シグナル（怪しいデータ）を分析した結果をレポートとしてまとめたもの。

日本マイクロソフト技術統括室チーフセキュリティオフィサー河野省二氏によれば、このレポートは初めてエンドポイントに特化したものなっており、昨日アジア版を公開したという。

分析するデータは、マイクロソフト提供しているサービス、OSのエンドポイントのデータで、xboxやAzure ADのデータも含まれているという。データ分析の対象となった期間は 2019年1月～12月。

日本マイクロソフト技術統括室チーフセキュリティオフィサー　河野省二氏

3つの脅威の遭遇率で日本が最低

レポートによれば、マルウェア、ランサムウェア、暗号通貨マイニング、ドライブバイダウンロードという代表的な4つの脅威のうち、暗号通貨マイニング、ランサムウェア、マルウェアの3つの脅威の遭遇率において、日本がアジアの中で最も低かったという。

アジア太平洋地域におけるマルウェア発生（左）とランサムウェア発生（右）のヒートマップ

暗号通貨マイニング攻撃は、被害者のコンピュータが暗号通貨をマイニングするマルウェアに感染し、犯罪者は被害者が気づかない間にそのコンピュータリソースを悪用するもの。

ドライブバイダウンロードは、ウェブサイトを訪問したりフォームを入力したりした際に、ユーザーのコンピュータに悪質なコード（スクリプトやプログラム）をダウンロードし、パスワードや金融情報などを盗み出すもの。

日本の遭遇率が低い理由は、対策が進んでいることや、政府も対策に積極的である点などがあるというが、「日本が少ないというよりも他が多い」（河野氏）ともいえるという。

他国が遭遇率が高い理由としては、フィルタリングなどを活用した多層防御が出来ていない点や、ソフトウェアやOSの海賊版使用の比率や、定期的なパッチ適用および更新ができていないことがあるという。

調査では、海賊版の使用比率が低く、常に健全な状態に保つサイバーハイジーン対応の徹底を意識した国では、攻撃の成功率が大幅に減少していることが明らかになったという。

アジア太平洋地域における特徴

2019年における日本の暗号通貨マイニングの遭遇率もアジア地域全体と比較すると最も低く、2018年よりも減少しているという。

遭遇率が低下している理由の一つとして考えられるのは、サイバー犯罪者は通常、手っ取り早く金銭的利益が得られることを目指しているが、最近は暗号通貨の価値が大きく変動しており、暗号通貨の生成にもより時間がかかるようになったことから、犯罪者が他の形態のサイバー犯罪に目を向けるようになったのではないかと考えられるという。

アジア太平洋地域では全般的にドライブバイダウンロード攻撃が減少傾向にあるが、今回の調査では、同地域のビジネスの中心地となるシンガポールと香港でこの種の攻撃の数が 2019年に最高値を記録し、同地域と世界平均の3倍以上となったことが明らかになったという。これはシンガポールや香港がアジア太平洋地域の金融のハブになっている点が理由として予測されるという。

日本でも同様に、2019年のドライブバイダウンロード攻撃数が300%増加しており、オンラインでのサービス利用の多い国に被害が及んでいるという。

COVID-19の影響

2020年の傾向としては、日本でも、2月初めから5月2日までの期間で14,000を超えるCOVID-19に乗じた攻撃を確認しており、特に、日本では、2月中旬から3月初旬に増えており、これは人々がもっとも恐怖心を覚えていた時期のためで、それ以降は落ち着いてきているという。

コロナ危機が比較的早く起きた中国や韓国でも同じ傾向がみられるという。

米マイクロソフトサイバーセキュリティソリューショングループ Chief Security Advisor 花村実氏によれば、学校の被害も増えているという。これは休校を余儀なくされ、オンライン授業をいち早く取り入れてようとするあまり、セキュリティ対策まで手が回らず、その部分を狙われているためだという。

米マイクロソフトサイバーセキュリティソリューショングループ Chief Security Advisor 花村実氏

COVID19に関連する攻撃

COVID19 発生後にマイクロソフトが確認した脅威

今後は「Security Posture」を目指す

そんな中、マイクロソフトでは、「Security Posture」（攻撃があっても動じない環境の新しいカタチ）を目指していくという。

河野氏によれば、現在のセキュリティ管理の課題として、新しい手法の攻撃に対応するために増え続ける対策ソリューション、セキュリティ管理の複雑化があり、分析や解析に時間をとられ、本来の目的である迅速な対応ができていない点があるという。

この課題に対応するために出てきた考え方が「Security Posture」で、迅速な対応を目指し、攻撃者が何を狙っているかを考え、脆弱性をなくすための共通項を定義していくことだという。

「Security Posture」

Security Postureは脆弱性のない環境をつくることと、インシデント対応の軽量化が目的で、セキュリティガバナンスとインシデントレスポンスの軽量化が重要だという。

セキュリティガバナンスでは、すべての資産の状態をリアルタイムに把握し、脆弱性の有無を把握し、軽減することで、攻撃されても事故に発展しない、被害が拡大しない環境をサイバーハイジーンとして構築。そのために必要な考え方がゼロトラストで、動的なポリシーを活用した対応によって、常に脆弱性を許容範囲内に収めることが可能になるという。

インシデントレスポンスの軽量化では、情報収集と判断を迅速に行うために、脅威インテリジェンスを活用し、組織外の状況を把握し、対策に役立てることで、予兆管理や事前対策を実施。そして、インシデントの調査や、対応の自動化のためのスクリプトの共有を行うことで、SOCやCSIRT にかかる人的コストの削減、対応の迅速化などを実現するという。

同社では今後、すでにMicrosoft 365で実現しているこの環境をAzure やIoTの世界にも広げながら、共通のダッシュボード、インテリジェンスを活用できるようにしていくという。

説明会では、これに向けて、Azure AD External IdentitiesとASC（Azure Security Center）Security Score APIという2つの機能が紹介された。

Azure AD External Identitiesでは、Facebook IDなどでサインインできるシステムを構築可能。河野氏は、これにより、BYODでもセキュリティサービスを利用する環境が広がるとした。

ASC Security Score APIは、セキュリティの状態を知り、推奨対策を実施するためのもので、セキュリティの問題について、リソース、サブスクリプション、および組織を継続的に評価。その後、すべての結果を1つのスコアに集約して、現在のセキュリティの状況を一目で確認できるようにするためのAPI。これを使うと自分たちのサービスでも利用できる。