日本マイクロソフトは8月29日、国内では8月3日にリリースが発表された新セキュリティソリューション「Microsoft Defender Threat Intelligence(Microsoft Defender TI)」と、「Microsoft Defender External Attack Surface Management(Microsoft Defender EASM)」の詳細について解説するメディア向けのオンライン発表会を開催した。

【関連記事】
≪ゼットスケーラー、ゼロトラスト製品「Zero Trust Exchange」にAIを活用した新機能≫
≪VMware、脅威インテリジェンス機能「VMware Contexa」発表 - NSXなどに標準装備≫

2つのソリューションは、米マイクロソフトが2021年に買収したRiskIQの製品・技術を同社の「Microsoft Defender」と統合して提供する脅威インテリジェンスソリューションとなり、「攻撃者の視点を提供する」ことをコンセプトとしている。

従来からマイクロソフトでは、「Microsoft 365 Defender」や「Microsoft Defender for Cloud」、「Microsoft Sentinel」などに脅威インテリジェンス機能を備えており、そうした製品から得た企業や組織内の脅威情報を収集・分析して自社製品の防御機能の強化に活用している。Microsoft Defender TIとMicrosoft Defender EASMは、サイバー空間からさまざまなデータを収集・分析し、ユーザー企業に対して、セキュリティ強化に役立つ情報を提供する。

マイクロソフトコーポレーション セキュリティソリューションエリア Security Global Black Beltの中村弘毅氏は、「インターネットからアクセス可能なデータを基に、攻撃の予兆や攻撃そのものに関するデータなどの実用的な脅威インテリジェンスに加えて、攻撃対象領域にまつわる情報を提供することで、企業のセキュリティチームを支援したいと考えている」と説明した。

  • マイクロソフトコーポレーション セキュリティソリューションエリア Security Global Black Belt 中村弘毅氏

    マイクロソフトコーポレーション セキュリティソリューションエリア Security Global Black Belt 中村弘毅氏

RiskIQは、サイバー空間におけるデータ収集に強みを持っている。1日あたり2億以上のWebサイトを訪問し、新規のポートや新サービス、新規のドメイン、DNSによる名前解決(ドメインからIPアドレスを検索すること)にまつわる情報、モバイルストアアプリなどを分析し脅威情報を付加して、脅威インテリジェンスとして提供してきた。Microsoft Defender TIとMicrosoft Defender EASMには、同社がサイバー空間から収集しているデータや脅威情報が活用されている。

「特にWebサイトに関して、RiskIQは“完全なHTML情報を保持する”という考え方を持ち、訪問したサイトが表示される過程で使用される依存関係のあるファイル、ドキュメントオブジェクトモデル、リンク、コンソール、メッセージ、クッキー、ヘッダー、バナー、JavaScriptなどを保存し、それらに対してデータサイエンティストがマシンラーニングを活用して分析・分類している。そこにセキュリティリサーチャーが脅威情報に関するインサイトを加え、独立したWebサイトの関連性や依存関係、Webサイトを経由した攻撃の経路などの情報に変換している」(中村氏)

  • RiskIQがサイバー空間から収集するさまざまなデータ

    RiskIQがサイバー空間から収集するさまざまなデータ

脅威インテリジェンスの分析プラットフォーム「Microsoft Defender TI」

Microsoft Defender TIは、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)といったセキュリティ専門チーム向けの脅威インテリジェンスの分析プラットフォームだ。

同プラットフォームでは、攻撃者や攻撃ツールの手法を理解するための脅威情報データベースのほか、Microsoftリサーチチームや外部のセキュリティベンダーなどが執筆した脅威情報に関する記事、IoC(Indicator of Compromise)データを利用できる。

同ソリューションは無償で利用できるコミュニティー版と有償のプレミアム版を提供する。コミュニティー版は提供される情報が限定されるが、Microsoft アカウントを保有しているユーザーなら誰でも無償で利用できる。

プレミアム版ではレピュテーションスコアやアナリストインサイト、固有のIoCデータを利用でき、費用はユーザー数に応じて月額または年額で課金される。なお、ユーザーの利用形態によって1ユーザーあたりの費用は異なる。

  • 「Microsoft Defender Threat Intelligence」の提供機能

    「Microsoft Defender Threat Intelligence」の提供機能

中村氏は、「脅威アクターが利用しているインフラや、どのようなフィッシングサイトを構築しているかなどの情報を活用することで、企業のSOCやCSIRTチームはサイバー脅威の分析時間を短縮し、分析精度を向上させることができる。攻撃の痕跡をインターネット上から見つけ出し、それらに関する情報も提供するほか、ランサムウェアやマルウェアからの攻撃を検知したらMicrosoft SentinelやMicrosoft 365 Defenderと連携し、SIEMやXDRの機能で被害を最小限に食い止めるといった対応も可能だ」と語った。

現状、Microsoft SentinelやMicrosoft 365 Defenderと連携しイベント検知をするためには、Microsoft Defender TIにIoC情報をユーザーが主導でインポート/エクスポートしなければならないが、2022年末までにはサードパーティ製品も含めたAPI連携機能を提供する予定だという。

Azure上で提供する攻撃対象領域の管理機能「Microsoft Defender EASM」

Microsoft Defender EASMは、Microsoft Azure上で提供する攻撃対象領域の管理のためのソリューションだ。Microsoft Azureを利用しているユーザーが権限をアサインされることで各種機能が利用可能になる。

同ソリューションでは、インターネット上で公開しているIT資産をオンプレミス・クラウド問わず検出し、脆弱性やクラウドの設定ミスなどを含めて可視化して一元管理することができる。攻撃対象領域の管理対象はユーザー企業だけでなく、グループ会社や取引先などのサプライチェーンのIT資産も対象にできる。

「特別なエージェントを追加することなく、企業のIT管理チームやデジタルチーム、SOC、CSIRTは、自社のどのようなIT資産がリスクにさらされているか短時間で把握できる。未知・既知の脅威の特定、リスクの優先順位付け、脅威の排除、ファイアウォールを超えた脆弱性と露出の制御なども強化できる」と中村氏は述べた。

  • 「Microsoft Defender External Attack Surface Management」の提供機能

    「Microsoft Defender External Attack Surface Management」の提供機能

同ソリューションはホスト、ページ、IPアドレスなどのアセット数に応じて月額で請求する従量課金モデルを採用している。2022年8月30日時点で、1アセットあたりの料金は4ドルとなる。アセットの情報は、マイクロソフトが有するMicrosoft製品のユーザー企業のプロファイルを基に設定するほか、特定のドメインやアドレスをMicrosoft Defender EASMで管理するアセットとして加えることも可能だ。

今後、Microsoft Defender EASMではMicrosoft Defender for Cloudとの機能連携を予定している。マイクロソフトは両ソリューションの連携を通じて、インターネットに露出しているアセットの検出と企業のセキュリティポリシーやクラウドプロバイダーのベストプラクティスに基づいたアセットの管理を両立させる「マルチクラウド・ハイブリッドセキュリティ対策」を推進していくという。

  • 「マルチクラウド・ハイブリッドセキュリティ対策」のイメージ

    「マルチクラウド・ハイブリッドセキュリティ対策」のイメージ

「1つのプラットフォームで組織の外と中、両方のセキュリティ対策を実施し、ユーザーが高度なセキュリティを実現できるように支援していく」と中村氏は意気込んだ。

フィッシングでデータが盗まれるまでの時間は72分

同日には、マイクロソフトが発行するセキュリティ動向やインサイトをまとめたレポート「Cyber Signals」の第2版を基に、最新のサイバー脅威が説明された。同レポートは同社製品などから得る43兆のテレメトリデータや、同社の8500人以上のセキュリティ専門家から得た知見などを基にしたもので、Microsoft Defender EASMやMicrosoft Defender TIで観測した脅威動向も含まれている。

ランサムウェアの動向のうち、同レポートではRaaS(Ransomware-as-a-Service)についても紹介している。RaaSの開発者・提供者は悪意のあるハッカーが攻撃を実施しやすいようにRaaSをキッティングして提供したり、カスタマーサービス付きでRaaSを提供したりしている。また、RaaSが想定より利用されなかった場合、利用料金をディスカウントして提供する、といった動きをマイクロソフトは観測したそうだ。

このほか、「Dev-0237」と呼ばれる脅威アクターの動向も紹介された。Dev-0237は複数のRaaSの提供を受け、ランサムウェアのぺイロードを変えつつ攻撃を繰り返していくという。

  • 「Dev-0237」によるランサムウェア攻撃のイメージ

    「Dev-0237」によるランサムウェア攻撃のイメージ

マイクロソフトコーポレーション セキュリティソリューションエリア Chief Security Advisorの花村実氏は、「RaaSの提供者もハッカーもビジネスで攻撃を行っており、複雑なことはしたくないようで、積極的に新しい脆弱性を発見してまで攻撃をしてこないことがわかってきている。利用されるのは既知の脆弱性であり、盗まれたパスワードやアイデンティティ、利用されず放置されているIT資産がねらわれる。そのため、攻撃対象領域にどのような脆弱性があるかモニタリングを常に行い、多要素認証や生体認証でアカウントを保護することが引き続き有効となる」と解説した。

  • マイクロソフトコーポレーション セキュリティソリューションエリア Chief Security Advisor 花村 実氏

    マイクロソフトコーポレーション セキュリティソリューションエリア Chief Security Advisor 花村 実氏