CYBERNET
 

お役立ち情報

トレンド基礎知識 活動と休止を繰り返し、より巧妙化する攻撃に対処するには

時間とともに巧妙化・高度化するサイバー攻撃

2019年11月頃にメディアに取り上げられ、セキュリティ関係者以外にも広く知られることになった「Emotet(エモテット)」。その存在は2014年に初めて明らかになり、その後たびたび猛威を振るってきました。2021年1月にはオランダ警察庁とドイツ連邦刑事庁の協力のもと、ユーロポールがマルウェアのインフラを乗っ取ったことで、その脅威は終息したかに見えましたが、2021年11月頃には再び攻撃活動が始まり、2022年2月から感染が急速に拡大し猛威を振るったことは記憶に新しいと思います。その後、7月頃から攻撃を観測しない状態が続きましたが、11月と2023年3月に再度攻撃を観測したとしてIPAが注意喚起を行っています。

ここで注目すべきなのは、感染の「量」が拡大していることだけではありません。攻撃の手口(質)も急速に進化しています。2021年11月に検出されたEmotetは、主にマクロ付きのExcelファイルやWordファイル、あるいはこれらをパスワード付きZIPで圧縮したファイルをメールに添付、それらを開封してマクロを有効化することで感染するというものでした。そのため効果的なEmotet対策の1つとして、これらのアプリケーションのマクロ機能を無効にする、といったことが推奨されてきました。また「怪しいメールは開かない」といったリテラシーの強化でも、ある程度対応できる状況でした。

その後、2022年3月には、実在する組織名や署名を記載したメールで添付ファイルを送信する事案が出現。これは感染端末内のアドレス帳から窃取されたとみられており、ターゲットに関係する組織や人物になりすますことでメール開封を促すという、より巧妙なものへと進化しています。すでに「怪しいメールは開かない」といった対応では、防げなくなってきたのです。

2022年4月には、ショートカットファイル(.lnkファイル)を使った攻撃が登場。これを実行するとスクリプトファイルが生成・実行され、Emotetに感染するといったケースも見つかっています。この攻撃ではExcelやWordのマクロ有効化が必要ないため、「マクロ機能を無効にする」といった対策の効果も低下してしまいました。さらに、2023年3月には、展開すると500MB超のWord文書を含むZIPファイルを添付するなど、セキュリティソフトの検知回避を狙ったと考えられる方法に進化しています。

巧妙化し続ける攻撃に備える新たな仕組み

急速な勢いで進化するのはEmotetだけの特徴ではありません。すでに「〇〇をしておけば攻撃を防げる」といった定番の対策は、次々に意味をなさなくなりつつあるといっても過言ではないのです。このような状況に対応するには、いったいどうすればいいのでしょうか。

まず考えられるのは過去の常識にとらわれることなく、新たな脅威が発生するたびに、対応策をアップデートすることです。しかしこのアプローチには重大な問題があります。対応策は脅威を後追いする形となるため、攻撃者に対して常に後手になるということです。そして人間が対応を行う限り、攻撃開始から対応策完了までの時間も、ある程度かかってしまうことになります。

この問題を解決する手法として期待されているのが、AIを活用したセキュリティ対策です。なかでも、自動運転や顔認証などで高い成果をあげているディープラーニング(深層学習)は、大きな注目を集めています。これまでのマルウェア検出で主流になっていたのは、マルウェアファイルから抽出したシグネチャを使い、それと照合することでマルウェアか否かを判断するというものでした。この方法は既知のマルウェアには有効ですが、未知のマルウェアの検出はできません。進化し続ける攻撃に対処するには未知のマルウェアを「予測」し、防御する必要がありますが、シグネチャベースでは不可能なのです。この問題を解決するため機械学習を用いた手法も登場していますが、機械学習は着目すべき「特徴点」を人間が教えるため、教えていない攻撃には対処できません。

これに対し、ディープラーニングは「特徴点」の抽出もAI自身が行うため、未知のマルウェアはもちろんのこと、これまでになかった意表を突いた攻撃も見抜くことができます。このようなセキュリティ製品として注目されているのが「Deep Instinct」です。独自開発したセキュリティに特化したディープラーニング技術を用い、数十億を超える攻撃ファイルを学習した結果を「予測モデル」として作成します。これを各エンドポイントに配置することで、既知・未知を問わずサイバー攻撃を瞬時に予測し、防御します。また、AIを欺く攻撃に対しても高い精度で判定して防御するため、セキュリティ担当者の負担を大幅に低減できるのです。

Deep Instinct が既知・未知の攻撃を高いレベルで実現できることはお判りいただけたのではないでしょうか。ただ、仮に侵入を許した際にどうなるのか、疑問を持たれる方もいるかもしれません。Deep Instinctは、予測モデルによる実行前検知のほか、実行時には動的分析・振る舞い検知を行う2重の防御壁として機能します。もし、それでも不安であれば、フル機能を搭載したEDRと組み合わせて利用することもできます。この場合、管理デバイスのログを逐次収集し、もしもの際にもログを遡り感染経路や状況を可視化・対処できるため感染被害の最小化が図れます。

Emotetのように急速に進化しながら感染を拡大していくマルウェアは、今後も次々に登場することになるでしょう。防御する側はそれらが猛威を振るう前に、先手を打っておく必要があるのです。


サイバネットでは、Deep Instinctのほか、EDRのフル機能を備えたCrowdstrikeやCarbon Blackも取り扱っています。また、セキュリティ人材不足でのEDRの運用に不安をお持ちの場合は、脅威除去から再発防止策まで支援するMDR(Managed Detection and Response)サービスなど、お客様のご要望に合わせたご提案も可能です。セキュリティ対策の見直しをご検討の際は、是非サイバネットにご相談ください。