日本マイクロソフトは10月28日、国際的なサイバーセキュリティの啓発月間「CSAM(Cybersecurity Awareness Month)」に合わせ、サイバー脅威に関するメディア勉強会を開催した。年2回発行するサイバー脅威レポート「Microsoft Digital Defense Report」の最新動向やセキュリティソリューションの最新状況を説明した。
勉強会では、技術統括室 チーフセキュリティオフィサーの河野省二氏が、「ランサムウェアの脅威の入口はフィッシングメールが多く、われわれや他社のインテリジェンスを活用した保護策によって減少傾向にある。ただ、『SMTP』など古いIT環境のセキュリティ対策は不十分であり、可能なら新しい環境で運用し、アラートなどを最大限に活用してほしい」と警鐘を鳴らした。
日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏
Microsoftが米国時間の10月7日に発表した最新のMicrosoft Digital Defense Reportでは、サイバー犯罪の増大やエコシステムの確立、脅迫型ランサムウェアによる犯罪組織の構造の変化が明らかにされた。ここでいうエコシステムとは、技術知識を持たないサイバー攻撃者が、ブラックマーケットから各種の犯罪関連サービスを購入することで、サイバー攻撃ができるようになる状況を指す。「ブラックマーケットの経済システムが構築されている」と、米Microsoft Cybersecurity Solution Group Chief Security Advisorの花村実氏はと指摘する。
米Microsoft Cybersecurity Solution Group, Chief Security Advisorの花村実氏
今回の勉強会では、身代金を要求するランサムウェアについて「脅迫型」という表現が用いられた。従来型のランサムウェアは、端末環境のデータを暗号化し、復号する代わりに身代金を求めるケースが多かったものの、「事前に組織全体のデータを抽出して、被害者から身代金をせしめる。身代金が支払われない場合は、データそのものを資金源に換える」(花村氏)という。
Microsoftの「DART(Detection and Response Team)」の調査によると、サイバー攻撃の標的となる最大国は米国で、2位にランクインした中国の3倍に及ぶ攻撃を受けている。今回、日本は3位に入っている。同社によれば、政府機関と民間の連携による透明性の確立、各国の法規制や企業同士のパートナーシップなど、サイバーの脅威に対する意識は年々高まりつつあるという。
ただし、企業間のサプライチェーンの隙間を狙った攻撃も増えている。その理由として花村氏は、「各組織がサイロ化して連携せず、適切なリスク管理が行われていない。Microsoftが見る限り、IDに関連する攻撃が多いため、多要素認証の導入・活用や、ダッシュボードの加工など、企業に合わせたカスタマイズ、サイバー攻撃者のアクセスの可視化の対策が必要」と述べる。その上で、人的資源の消費を避けるため、継続的監視に機械学習技術を活用し、システムの異常な動作を検知することなどに用いる方法を提案した。
Microsoftは、端末保護ソリューションとして「Microsoft Defender for Endpoint」を提供してきた。現行版(今後のプラン2)の他にも、プレビュー版の「プラン1」がある。プラン1は、動作ベースやヒューリスティック、リアルタイムなウイルス対策や新たな脅威の検出とブロックを行うクラウド保護などの新たな機能により、端末をマルウェアから保護する。
ただし「プラン2」は、macOSやLinux、iOSなど非Windowsの環境にも対応していたが、プラン1は、現時点ではLinux未対応となる。また、Office 365を狙うサイバーの脅威には、無償利用できる「脅威可視化アセスメントLight」で検証可能としている。テナントで「Azure AD Premium 2」の試用版を有効にすると、クラウド型SIEM(セキュリティ情報イベント管理)の「Azure Sentinel」で各種のセキュリティシグナルを分析し、過去1カ月の脅威情報をダッシュボードで参照できる。Microsoftのパートナーの調査結果によれば、84.2%のテナントがサイバー攻撃を検知し、78.95%のテナントで資格情報の漏えいが検知されたとのことだ。
「Microsoft Defender for Endpoint」 プラン1の主な機能
日本マイクロソフトは、「サイバーハイジーン(サイバー攻撃などの脅威への予防に強い状況)」で98%のサイバー攻撃を防ぐことが可能だと提唱する。「多要素認証の適用」「最小権限ポリシー」「最新環境の維持」「マルウェア対策」「データ保護」と5つの要素を実現することで、ネットワーク遮断など物理的な攻撃以外を防げるという。現在はセキュリティソリューションの多様化によって、1日に分析するセキュリティシグナル数が8.5兆から24兆に増加しており、分析を担当するセキュリティ専門家も約3500人から約8500人に増強しているという。
Microsoftの「サイバーセキュリティ・ベルカーブ」
