Windows Defender ATP

はい、これで見えますね: ファイルレス マルウェアをさらけ出す

攻撃者は、ますます高度化するテクニックを駆使して、セキュリティ防御策を回避することに懸命になっています。ファイルレス マルウェアによって攻撃のステルス性と有効性は高まり、昨年流行した重大なランサムウェアのうち 2 つ (Petya と WannaCry) はキル チェーンの一部としてファイルレスのテクニックを使用しています。

アップグレードの重要性: 2017 年のランサムウェア拡散時に高い効果を証明した Windows 10 の次世代型セキュリティ

2017 年、ランサムウェア (英語) はより巧妙化する脅威の確立した攻撃手法や技術を利用することで、かつてないレベルの感染拡大と被害をもたらしました。昨年猛威を振るったランサムウェアには、以下のような特徴が見られました。

Windows Defender Application Control の紹介

今日の脅威ランドスケープを考えると、アプリケーション制御は企業を守る重要な防衛線であり、従来型のウイルス対策ソリューションに対して固有の優位性を持っています。具体的に言うと、アプリケーション制御を実施することで、すべてのアプリケーションが既定で信頼できると仮定するモデルが、アプリケーションを実行するためには信頼を獲得しなければならないモデルに反転するのです。

Windows Defender ATP の機械学習と Antimalware Scan Interface: スクリプトを悪用した「環境寄生型」攻撃の検出

高度な標的型攻撃を実行するアクティビティ グループや、無差別型の脅威を展開するマルウェア作成者によるスクリプトの悪用が進んでいます。
JavaScript、VBScript、PowerShell などのスクリプト エンジンは、攻撃者にとって大きなメリットがあります。これらは正規のプロセスを通じて実行されるため、「環境寄生型」攻撃 (ディスクを操作するのではなく、一般的なツールを使用してインメモリでコードを直接実行する攻撃 (英語)) のためのツールとして最適です。スクリプト エンジンの多くには、オペレーティング システムの一部として、インターネット上のコンテンツをオンザフライで評価して実行する機能が備わっています。さらに、広く使用されているアプリと統合すれば、ソーシャル エンジニアリングを通じて悪意のあるコンテンツを配信するうえで効果的な手段にもなります。この点は、スパム攻撃におけるスクリプトの使用 (英語) が増加していることからも明らかです。

Windows Defender Application Guard で Microsoft Edge を最もセキュアなブラウザーに

敵は決断力と複雑さの両面において強大化しており、攻撃空間でのイノベーションは絶え間なく続いています。防御策に対する投資の増加に呼応するように、攻撃者は猛烈なスピードで順応し、戦術を向上させています。朗報としては、防御する方も進化し、長い間攻撃者が頼みとしてきた手法を、新しいテクノロジで破壊しています。Windows 10 では、最新の攻撃に対するその場しのぎの報復的ソリューションだけを提供しているわけではありません。それどころか、根本原因をしっかりと調べて、攻撃のクラス全体を根絶できるようなプラットフォームに変換しています。

Windows Defender Exploit Guard: 攻撃表面を縮小して次世代型マルウェアに対抗する

Windows Defender Exploit Guard は、Windows 10 Fall Creators Update (英語情報) に搭載された新しい侵入防止機能です。Windows Defender Exploit Guard の 4 つのコンポーネントは、さまざまな種類の攻撃ベクトルに対してデバイスをロック ダウンし、マルウェア攻撃でよく見られる動作をブロックするよう設計されており、同時に、エンタープライズがセキュリティ リスクと生産性の要件のバランスを保つことを可能にします。

Windows Defender ATP でステルス性の高いクロスプロセス インジェクション手法を検出する: プロセス ハロウイングと AtomBombing

高度なサイバー攻撃では、ステルス性と持続性が重視されます。攻撃が気づかれずにいる期間が長いほど、より横断的に侵害し、より多くのデータを抜き取り、より大きなダメージを与えることができます。検出を防ぐために、クロスプロセス インジェクションを利用する攻撃者が増えています。

Petya ランサムウェア攻撃に対する Windows 10 プラットフォームのレジリエンス

2017 年 6 月 27 日に発生した Petya ランサムウェアによる攻撃 (このブログで詳細分析を実施 (英語情報)) は、先月の WannaCrypt (WannaCry としても知られる) 攻撃よりも影響が大きい事態として認識されているかもしれません。なぜなら、Petya は WannaCrypt と同じ SMB のエクスプロイトを悪用し、さらに 2 つ目のエクスプロイトとその他の横断的な侵害手法を追加しているからです。しかし、テレメトリでは攻撃の蔓延範囲は WannaCrypt よりも少なく示されています。

Windows Defender ATP でクロスプロセス インジェクションを発見する

Windows Defender Advanced Threat Protection (Windows Defender ATP) は、企業のセキュリティ運用 (SecOps) 部門の要員に悪意のあるアクティビティについて知らせる、侵入した脅威に対するソリューションです。SecOps 要員による攻撃の発見と対応を引き続き支援できるよう、攻撃の本質の変化と合わせて Windows Defender ATP も進化する必要があります。