「環境寄生型」の攻撃が拡大、フィッシング詐欺も継続――トレンドマイクロが2019年上半期の脅威動向報告書を公開

EnterpriseZine / 2019年9月5日 15時15分

図1:ファイルレス活動を示唆する挙動の検出イベント数推移・全世界(出典:トレンドマイクロ)

 トレンドマイクロは、日本国内および海外における最新のセキュリティ動向を分析した報告書「2019年 上半期セキュリティラウンドアップ:法人システムを狙う脅迫と盗用」を公開したと発表した。

2019年上半期(1~6月)脅威動向ハイライト

 1.「環境寄生型」の攻撃が拡大、ファイルレス活動が前年同期比3.6倍に増加

 主に標的型攻撃におけるネットワーク侵入時などに用いられる「環境寄生型(Living Off the Land)」の攻撃だが、こうした攻撃を示唆する活動が拡大している傾向が明らかとなった。「環境寄生型」の攻撃は、正規ツールの悪用や痕跡を残さない活動を行うことで、対策側の監視や調査を回避することを目的としている。

 不正プログラム本体を実行可能な状態のファイルとしてコンピュータに保存することなく活動させる「ファイルレス」は、その代表的手法になる。2019年1~6月の全世界におけるファイルレス活動を示唆する挙動の検出数は、前年同期比約3.6倍に増加した(図1)。
図1:ファイルレス活動を示唆する挙動の検出イベント数推移・全世界(出典:トレンドマイクロ)

 また、Microsoft Officeのマクロ機能を利用して、PCのセットアップやトラブルシューティングなどで活用されるWindowsの標準機能「PowerShell」を起動し、不正にプログラムを実行する手法も横行している。

 これらは、メールに添付された文書ファイルという形式で侵入することが多く、実行形式などのファイルと比較して業務上必要なファイル形式のため、形式のみで一律に排除することが難しいと考えられる。

 さらに、文書ファイル形式であれば、ユーザ側の注意が薄れることも、サイバー犯罪者に多用される理由として挙げられる。実際に、マクロ機能を悪用する不正プログラム「Powload(パウロード)」の全世界の検出台数は、4期連続10万件を超え、引き続き高い水準にある(図2)。
図2:マクロ機能を悪用する「Powload」の検出台数・日本と全世界(出典:トレンドマイクロ)

 さらに「Powload」は、標的とする国・地域の言語に設定されていない環境では、メインの機能を実行せず、一般的なサンドボックスによる発見や解析を回避しようとする。

 正規ツールの利用や痕跡を残さない活動、監視や調査を回避する攻撃手法は、広く一般の攻撃にも拡大しており、法人組織としては痕跡消去や隠ぺい工作に対して、多様な対策技術を組み合わせて監視・追跡を行えるように体制を整えることが重要だ。また、従業員に対しては「マクロの有効化は危険性を伴う」などの、セキュリティ意識の向上のための啓発活動も組織として必要となる。

この記事に関連するニュース

トピックスRSS

ランキング