本記事は、 Microsoft Security のブログ “ Microsoft Cybersecurity Report: Top 10 Most Wanted Enterprise Threats ” (2013 年 11 月 26 日公開 ) を翻訳した記事です。
長年にわたる海外出張で大勢の企業のお客様にお会いし、進化している脅威の動向について話し合う機会がありました。こちらから情報を提供するだけでなく、お客様から自身の環境の中でリスクをどのように管理しているかを教えていただきました。多くのお客様は、エンタープライズ環境で見つかる主要な脅威に関心をもたれています。エンタープライズ環境で最も一般的な脅威を知ることで、現在のセキュリティ態勢を評価して、セキュリティに対する投資の優先順位付けに役立ちます。この情報に対する高い関心を考えると、最新版のマイクロソフト セキュリティ インテリジェンス レポート (SIRv15) の新しい情報に基づいて、企業のお客様が直面するトップ 10 の脅威を詳しく見ていくことがお役に立つと思われます。
最新のレポートでは、2012 年第 3 四半期 (3Q12) と 2013 年第 2 四半期 (2Q13) の間に、世界中のエンタープライズ環境にあるシステムの平均で約 11% がマルウェアに遭遇しています。この “遭遇率” は、マイクロソフトのリアルタイム セキュリティ ソフトウェアを実行しているコンピューターが、マルウェアを検出してインストールをブロックした際のレポートに基づいた割合です。これは、実際にマルウェアに感染したシステムの数、つまり CCM (1,000 回ごとに駆除されたコンピューター数) と呼ばれる測定値とは異なります。
図 1 ( 左 ): 消費者向けおよび企業向けコンピューターでのマルウェア遭遇率 (3Q12 ~ 2Q13) 。図 2 ( 右 ): マイクロソフト エンタープライズ セキュリティ製品が検出した上位 10 ファミリーの四半期ごとの傾向 (3Q12 ~ 2Q13) 、 2Q13 に各ファミリーに遭遇したコンピューターの割合。
 |
 |
上のリストで世界中のエンタープライズの脅威のトップ 10 を見てみると、現代の企業が一般的にどのような場合にマルウェアに接触しているかがわかります。このリストによると、企業がマルウェアに遭遇するのは、主に次の 3 つの方法からです。
-
悪意のある、または侵害された Web サイトから
-
ネットワーク ドライブから広がったワーム、自動実行機能の悪用、脆弱なパスワードなど
-
ユーザーがシステムにマルウェアをインストールするように仕掛けられたソーシャル エンジニアリング
悪意のある、または侵害された Web サイト 2012 年末までに、Web ベースの攻撃は従来のネットワーク ワームを超えて、企業が直面する最も多い脅威になりました。 最新のセキュリティ インテリジェンス レポートは、この傾向が 2013 年の前半まで続いていることを示しています。
図 3: マイクロソフト エンタープライズ セキュリティ製品が検出した上位 10 種のファミリーの四半期ごとの傾向 (2012 年第 3 四半期 ~ 2013 年第 2 四半期 ) 、各ファミリーに遭遇したコンピューターの割合
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/Microsoft-Cybersecurity-Report_Page-2.png)
実際、2Q13 に企業が遭遇した上位 10 種の脅威のうち 6 つは、悪意があるか侵害された Web サイトに関連するものです。このような脅威には、JS/Seedabutor、HTML/IframeRef、Win32/Sirefef、JS/BlacoleRef、Java/CVE-2012-1723、Blacole などがあります。企業のコンピューター ユーザーは通常、社内システムを使用して Web を閲覧しているときに、この種の悪意のあるまたは侵害された Web サイトに思いがけなく接触してしまいます。
HTML/IframeRef を例にとると、攻撃者は、Web サイトを調べて脆弱な Web サーバーを見つけ、感染させる自動システムを作っています。侵害されて感染したサーバーは、リダイレクターとして使用される、見た目は無害な小さいコードをホストします。ところが、このコードはチェーンの一部で、被害者がその Web サイトにアクセスすると、リダイレクターが別の悪意のあるサーバーから悪意のあるページを提供して、その被害者をマルウェアに感染させます。この種の攻撃テクニックについては、以前に書いた一連の記事でご覧になれます。
What You Should Know About Drive-By Download Attacks - Part 1 (ドライブバイ ダウンロード攻撃に関する注意 - その 1)
What You Should Know About Drive-By Download Attacks – Part 2 (ドライブバイ ダウンロード攻撃に関する注意 - その 2)
システムがマルウェアに侵害されると、感染したマシンを混乱させるだけでなく、やり取りする他のシステムに危害を与える可能性もあります。感染したシステムは企業の内外でマルウェアの拡散に使用され、知的財産などの情報が盗まれる場合があります。
ネットワーク ドライブ、自動実行、脆弱なパスワード 企業が直面する最も多い脅威は Web ベースの攻撃ですが、ワームも無視できません。2013 年第 2 四半期で企業が直面した上位 10 種の脅威のうちの 3 つは、Win32/Conficker、INF/Autorun、Win32/Dorkbotなどのワームに関連するものです。ワームは一般的に、ネットワーク ドライブ、自動実行機能の悪用、脆弱パスワードの悪用によって広がります。
たとえば、Conficker ワームは通常、脆弱なパスワードを悪用して拡散されます。このワームは、一般的なパスワードや脆弱なパスワードの組み込みリストを使用して、他のコンピューターを侵害しようとしたり、感染したシステムにログインするユーザーの資格情報を盗もうとします。“admin”、“admin123”、“administrator”、“default”、“test”、“12345”、“security” などのパスワードは、Conficker のパスワード リストに載っています。Conficker はシステムを侵害すると、IT 管理者の資格情報を盗んで内部ネットワークに広がる可能性があります。Conficker がこのテクニックを使って広がるしくみは次のとおりです。
-
システムが侵害される
-
ユーザーにある問題が起きて、それについて管理者にサポートを求める
-
管理者がその問題に対処するため、ネットワーク管理パスワードを使って、感染したマシンにログインする
-
Conficker がその管理者の資格情報を盗み取り、すぐにそれを使ってネットワークの他のマシンにログインしてすべてのマシンを侵害する
ソーシャル エンジニアリング 最新の脅威に関する情報によると、企業がマルウェアに直面する 3 番目に多い方法は、ソーシャル エンジニアリングを介したものです。これには、Win32/Obfuscator などが挙げられます。サイバー犯罪者は、マルウェアを隠してだまし、インストールさせるように仕向けます。これはさまざまな場合に起きる可能性があります。
たとえば、攻撃者は侵害したシステムを使って、悪意を持ったサイトやマルウェアへのリンクが含まれる間違いメール、友達リクエスト、インスタント メッセージなどを送信します。その他に、オンラインでダウンロードできる人気のあるソフトウェアや映画、音楽にバンドルする方法が、攻撃者が人々をだましてマルウェアをインストールさせようとする方法としてよく使われます。この方法については、マイクロソフト セキュリティ インテリジェンス レポート第 13 版で詳しく説明されています。
幸いなことに、企業の保護に役立つ、次のような効果的な緩和策やベスト プラクティスがあります。
-
すべてのソフトウェアを最新の状態に保つ: 攻撃者は、さまざまなベンダーのあらゆる種類のソフトウェアにある脆弱性を利用しようとします。したがって、環境内のすべてのソフトウェアを最新の状態にして、可能なかぎり最新版を実行することが重要です。これにより、企業で見られるこの種の脅威が広がりにくくなります。この対策は、2013 年の前半に企業環境で検出された上位 10 種の脅威のうちの 6 つを軽減するのに役立ったはずです。
-
セキュリティ開発ライフサイクルで開発されたソフトウェアを要求する: 影響を受けるベンダーからソフトウェアの更新プログラムを入手し、テストし、配置するまで、攻撃者が脆弱性を利用して環境を侵害しようとするリスクを管理することが重要です。ソフトウェア ベンダーが ASLR、DEP、SEHOP などのプラットフォームに組み込まれたセキュリティ緩和策を使用することは、これに対処する効果的な方法です。これらの緩和策で、攻撃者による脆弱性の悪用がかなり抑えられます。ベンダーにこれらの緩和策を使用するソフトウェアを要求してください。環境内のソフトウェアでこれらの緩和策が取られているかどうかは、Binscope や EMETなどのツールでチェックできます。環境内に配置されたソフトウェアでこのような緩和策が取られていない場合は、EMET によって有効にできる場合もあります。これらの緩和策によって、セキュリティ更新プログラムやソフトウェアの新しいバージョンをテストして配置する時間ができるため、リスク管理に役立ちます。ベンダーがセキュリティ開発ライフサイクルを使用しているかどうかを確認する簡単な方法は、ISO 27034 という国際標準の指針に適合しているか尋ねることです。
-
Web サイトを制限する: 社内のユーザーがアクセスできる Web サイトを制限します。社内では不満が出るかもしれませんが、企業で見つかる脅威の多くが悪意のある Web サイトから伝達されることを考えると、Web サイトの制限を正当化できる十分なデータであると言えるでしょう。また、サーバーから Web へのアクセスを制限することは、これまでずっとベスト プラクティスでした。
-
Web サイトのセキュリティを管理する: 多くの企業は、このような攻撃で使われる悪意のあるコンテンツを自社の Web サイトがホストする可能性があることに気付いていません。自社の Web コンテンツを定期的に評価して、顧客とその評判に影響を与えるような侵害が起きないようにします。
-
ネットワーク セキュリティ テクノロジーを活用する: ネットワーク アクセス保護 (NAP)、侵入防止システム (IPS)、コンテンツ フィルターなどのテクノロジーでは、ネットワーク クライアントをコンプライアンスに導いて (修復のプロセス)、その後ネットワーク アクセスのレベルを動的に向上させるメカニズムが自動的に提供され、保護が一層強化されます。
もちろん、最新のマイクロソフト セキュリティ インテリジェンス レポートには、その他のデータがたくさんあります。このレポートは、お客様のリスク管理と資産保護に役立つ規範的なガイダンスを提供するためのものです。企業のリスク管理担当者の方はすぐに、http://www.microsoft.com/ja-jp/security/resources/sir.aspx からこれをダウンロードして、最新の脅威について確認されることをお勧めします。
Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)