日本マイクロソフトは6月18日、サイバーセキュリティ動向に関するオンライン説明会を開き、最新レポートの「Microsoft Security Endpoint Threat Summary 2019」の概要やコロナ禍(COVID-19)に拡大する脅威の状況などについて紹介した。
Microsoft Security Endpoint Threat Summary 2019は、アジア太平洋地域15カ国(インド、インドネシア、オーストラリア、シンガポール、スリランカ、タイ、ニュージーランド、フィリピン、ベトナム、マレーシア、韓国、香港、台湾、中国、日本)を対象に、2019年1~12月に取得した1日8兆件に上る脅威シグナルを分析した結果を取りまとめている。
「Microsoft Security Endpoint Threat Summary 2019 for APAC」の概要
今回のレポートでは、「マルウェア」「ランサムウェア」「暗号通貨のマイニング(採掘)」「ドライブバイダウンロード(不正サイトなどを通じてマルウェアをダウンロードさせ、感染させる攻撃)」が代表的な脅威とされた。
マルウェアおよびランサムウェアは、インドネシア、スリランカ、インド、ベトナムなどが大きな被害を受ける一方で、日本は被害の少ない国にランクインしている。なお、上図で示された「遭遇率」はPCなどのエンドポイントでマルウェア類の存在を検出した件数を元にしており「感染率」ではないという。
また、マイニングは減少にあるといい、技術統括室 チーフセキュリティオフィサーの河野省二氏は、「暗号通貨は価値の上下落が激しく、マイニングしたところでコストと利益が相反している」と話す。一方でドライブバイダウンロードは、300%と大幅に増加した。「クラウド利用などウェブサイトにアクセスするケースやFinTechの活用が各国で増加したことが影響しているのでは」(河野氏)と見る。これらの傾向は、同社の公式ブログ(英語)でも解説されている。
日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏
COVID-19の前後でMicrosoftが確認した脅威については、その多くがCOVID-19流行前に仕込まれたケースが多いという。複数のランサムウェアグループが標的とする組織に忍び込み、その状態を維持してきた。サイバー攻撃を受けた業種は製造や運輸、政府機関と多岐にわたるが、「卑劣にも医療請求企業など(COVID-19の影響で)困難な状況に遭い、支払ってしまう企業が狙われている」(Cybersecurity Solutions Group, Chief Security Advisorの花村実氏)と分析している。
Microsoft Cybersecurity Solutions Group, Chief Security Advisorの花村実氏
教育分野でオンライン授業が増加傾向にあるものの、セキュリティ対策が後手に回るケースも多く、そこにつけ込む形で攻撃を仕掛けるケースも散見された。サイバー犯罪者の目的は現在も変わらず、その大半は収益の最大化にあるという。攻撃手法も認証情報の盗難とラテラルムーブメント(横展開)、COVID-19の世界的大流行に乗じて、攻撃要素の1つとして利用していることが観測されたとのことだ。
国内のサイバー攻撃状況。新型コロナウイルスの影響を受けて不安を覚えるユーザーのクリック率が一時期増加しているが、ユニークな攻撃数は増えていない。また、ニューノーマル(新常態)の認知で一定の収束が確認できたという
河野氏は、オンラインで開催の「de:code 2020」の基調講演にも登壇しており、その中で「Security Posture(姿勢)」について語っている。今回のオンライン説明会では、これ関連してCOVID-19により示唆された今後のセキュリティについて紹介した。
COVID-19からわれわれが身に付けるべきという、5つのセキュリティトピック
上図で示したように、5つのトピックが提示された。河野氏によれば、「ユーザーに寄り添ったセキュリティを意識させないIT基盤」は、日本では事例が少ないものの、「海外ではテレワーク時に自らセキュリティに気を配ることが精神的負担になっている。テレワーク実施時や従業員が気にしないIT環境を提供しなければならない」(河野氏)ことを意味する。
「ゼロトラスト」は、セキュリティ対策の注力点が境界型防御からエンドポイントに移行していることを指し、今後重要になるのは判断基準となるセキュリティ情報だとする。「脅威インテリジェンス」では、セキュリティ情報を単独ではなく複合的に組み合わせることを表している。不審なメールを例にすれば、蓄積したデータから一定のパターンを見いだすことでメール配信を抑制し、同社のレポートにあるような被害を未然に防ぐことに生かす。「サイバーレジリエンス」は、甚大なダメージを受けずにITサービスの提供を可能にするレジリエンス(回復力)の重要性が増す。
最後の「後付け型のセキュリティ」は、設計・開発段階におけるセキュリティ対策の「ビルトイン」が継続されつつも、OSにウイルス対策ソフトを後から導入するような「ボルトオン」は、「ターミネート(終端)を迎えている」(河野氏)という意味だ。これらの要素を踏まえて河野氏は、「Security Postureを深化させながら、セキュリティ対策自体を透過できる環境を構築してほしい」とまとめた。
