2016/1/8 更新: Key Findings Summary の日本語版を公開しました。「マイクロソフト セキュリティ インテリジェンス レポート 第 19 版 主な調査結果の概要」
2015 年 11 月 18 日 (米国時間)、2015 年上半期の脅威の動向をまとめた「マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 19 版」を公開しました。
](http://download.microsoft.com/download/4/4/C/44CDEF0E-7924-4787-A56A-16261691ACE3/Microsoft_Security_Intelligence_Report_Volume_19_English.pdf)
セキュリティ インテリジェンス レポートは、半期に一度公開しており、世界における脆弱性の傾向、エクスプロイト (悪用) の傾向、マルウェアの傾向や、各国・地域での脅威の傾向などを、全世界約 10 億台以上のシステムから収集されるデータを基に分析しています。
また、第 19 版では特集として、標的型攻撃を行う集団 STRONTIUM について詳説しています。さらには、Exchange Online の機能である Advanced Threat Protection についても紹介していますので、本ブログではこれらについて少し説明を入れたいと思います。
攻撃グループ STRONTIUM
Microsoft Malware Protection Center (MMPC) のハンター チームは、常に台頭する脅威や脅威となるグループをモニターしています。STRONTIUM (マイクロソフトのコードネーム) は、新しいエクスプロイトや手法を使用して標的型攻撃を行うグループの 1 つであり、その手法や悪用はのちに他の攻撃者に流用され広範囲に使用されていきます。
STRONTIUM は 2007 年頃 (もしくはそれ以前) より活動しており、ゼロデイを狙った攻撃に長けています。2015 年上半期では 5 つのゼロデイの脆弱性が STRONTIUM により最初に悪用されました。政府、軍部、金融などの重要機関にターゲットを絞り、スピア フィッシングなどの手法を用いて文書ファイルやブラウザーのアドインなどの脆弱性を悪用することで企業や機関に潜入し、その後、時として何年もかけて執拗かつ周到に企業や機関の重要情報を盗み取ります。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/SIR19Strontium.png)
上図: STRONTIUM が実際に標的に送ったスピア フィッシング メール。実際の時事ニュースを用い実在の団体に見せかけ、ゼロデイを悪用する URL をクリックさせようとする
上記は一部ですが、SIR 19 版では STRONTIUM の攻撃手法や特徴について詳説しています。敵の手法を知り、自組織に必要な対策を考えるヒントとし、同様の攻撃に対する防御力の向上へとつなげていただければ幸いです。
攻撃メールを止める Office 365 の “Advanced Threat Protection”
特に標的型攻撃では、攻撃者は、主なマルウェア対策ソフトで検知されないことを確認した上で、マルウェアの亜種や新種を送り込み企業の防御をすり抜けます。セキュリティ ベンダー側はこういった未確認の新たな脅威に対し迅速に対応を試みますが、定義ファイル ベースの対策では即時性の観点で限界があることも事実です。
Exchange Online ではこれまでも、より高い検出のため、複数のベンダーのウイルス対策エンジンを用いて悪意のある “既知” のファイルをブロックしてきました。今年初めに実装された Advanced Threat Protection では、 定義ファイルにない “未知” の脅威や悪意のあるリンクに対して有効に機能する防御層 (仮想のサンドボックス) を追加しています。
](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/61/20/SIR19Sandbox.png)
受信したメッセージが疑わしい添付ファイルを含んでいる場合、 Exchange Online はそれをサンドボックス内で実行し、レジストリの書き換えやメモリ ダンプへのアクセス、特権の昇格など、通常マルウェアが行うような悪意のある振る舞いがないかを監視 します。これにより、これまで確認されておらず、“定義ファイル” にもない脅威を検出・ブロックすることが可能となっています。管理者は、メッセージの配信をブロックしたり、管理者へ通知するなどを設定でき、またどのユーザーがどういったリンクをクリックしたかなどを確認できます。
セキュリティ インテリジェンス レポートのダウンロード
レポートのダウンロードは、以下英語のウェブページより行えます。Key Findings Summary の日本語版は、後日公開しますので少しお待ちください (公開次第、本ブログでアナウンスします)。「マイクロソフト セキュリティ インテリジェンス レポート 第 19 版 主な調査結果の概要」をご覧ください。
](http://www.microsoft.com/sir)
SIR のランディング ページ http://www.microsoft.com/sir