挙動監視と機械学習で大規模な「Dofoil」によるコイン マイニング攻撃を阻止
3 月 6 日の正午 (太平洋標準時) ごろ、Windows Defender ウイルス対策によって、高度なクロスプロセス インジェクション、永続化メカニズム、回避などの巧妙な手法を駆使した 8 万件以上のトロイの木馬のインスタンスがブロックされました。
3 月 6 日の正午 (太平洋標準時) ごろ、Windows Defender ウイルス対策によって、高度なクロスプロセス インジェクション、永続化メカニズム、回避などの巧妙な手法を駆使した 8 万件以上のトロイの木馬のインスタンスがブロックされました。
攻撃者は、ますます高度化するテクニックを駆使して、セキュリティ防御策を回避することに懸命になっています。ファイルレス マルウェアによって攻撃のステルス性と有効性は高まり、昨年流行した重大なランサムウェアのうち 2 つ (Petya と WannaCry) はキル チェーンの一部としてファイルレスのテクニックを使用しています。
2017 年、ランサムウェア (英語) はより巧妙化する脅威の確立した攻撃手法や技術を利用することで、かつてないレベルの感染拡大と被害をもたらしました。昨年猛威を振るったランサムウェアには、以下のような特徴が見られました。
今日の脅威ランドスケープを考えると、アプリケーション制御は企業を守る重要な防衛線であり、従来型のウイルス対策ソリューションに対して固有の優位性を持っています。具体的に言うと、アプリケーション制御を実施することで、すべてのアプリケーションが既定で信頼できると仮定するモデルが、アプリケーションを実行するためには信頼を獲得しなければならないモデルに反転するのです。
高度な標的型攻撃を実行するアクティビティ グループや、無差別型の脅威を展開するマルウェア作成者によるスクリプトの悪用が進んでいます。
JavaScript、VBScript、PowerShell などのスクリプト エンジンは、攻撃者にとって大きなメリットがあります。これらは正規のプロセスを通じて実行されるため、「環境寄生型」攻撃 (ディスクを操作するのではなく、一般的なツールを使用してインメモリでコードを直接実行する攻撃 (英語)) のためのツールとして最適です。スクリプト エンジンの多くには、オペレーティング システムの一部として、インターネット上のコンテンツをオンザフライで評価して実行する機能が備わっています。さらに、広く使用されているアプリと統合すれば、ソーシャル エンジニアリングを通じて悪意のあるコンテンツを配信するうえで効果的な手段にもなります。この点は、スパム攻撃におけるスクリプトの使用 (英語) が増加していることからも明らかです。
敵は決断力と複雑さの両面において強大化しており、攻撃空間でのイノベーションは絶え間なく続いています。防御策に対する投資の増加に呼応するように、攻撃者は猛烈なスピードで順応し、戦術を向上させています。朗報としては、防御する方も進化し、長い間攻撃者が頼みとしてきた手法を、新しいテクノロジで破壊しています。Windows 10 では、最新の攻撃に対するその場しのぎの報復的ソリューションだけを提供しているわけではありません。それどころか、根本原因をしっかりと調べて、攻撃のクラス全体を根絶できるようなプラットフォームに変換しています。
Windows Defender Exploit Guard は、Windows 10 Fall Creators Update (英語情報) に搭載された新しい侵入防止機能です。Windows Defender Exploit Guard の 4 つのコンポーネントは、さまざまな種類の攻撃ベクトルに対してデバイスをロック ダウンし、マルウェア攻撃でよく見られる動作をブロックするよう設計されており、同時に、エンタープライズがセキュリティ リスクと生産性の要件のバランスを保つことを可能にします。
高度なサイバー攻撃では、ステルス性と持続性が重視されます。攻撃が気づかれずにいる期間が長いほど、より横断的に侵害し、より多くのデータを抜き取り、より大きなダメージを与えることができます。検出を防ぐために、クロスプロセス インジェクションを利用する攻撃者が増えています。
2017 年 6 月 27 日に発生した Petya ランサムウェアによる攻撃 (このブログで詳細分析を実施 (英語情報)) は、先月の WannaCrypt (WannaCry としても知られる) 攻撃よりも影響が大きい事態として認識されているかもしれません。なぜなら、Petya は WannaCrypt と同じ SMB のエクスプロイトを悪用し、さらに 2 つ目のエクスプロイトとその他の横断的な侵害手法を追加しているからです。しかし、テレメトリでは攻撃の蔓延範囲は WannaCrypt よりも少なく示されています。
Windows Defender Advanced Threat Protection (Windows Defender ATP) は、企業のセキュリティ運用 (SecOps) 部門の要員に悪意のあるアクティビティについて知らせる、侵入した脅威に対するソリューションです。SecOps 要員による攻撃の発見と対応を引き続き支援できるよう、攻撃の本質の変化と合わせて Windows Defender ATP も進化する必要があります。