日本と海外の脅威動向を分析した
「2019年 上半期セキュリティラウンドアップ」を公開

～「環境寄生型」の攻撃が拡大、ファイルレス活動が前年同期比3.6倍に増加～

2019年9月5日

トレンドマイクロ株式会社（本社：東京都渋谷区、代表取締役社長 兼 CEO：エバ・チェン　東証一部：4704、以下、トレンドマイクロ）は、日本国内および海外における最新のセキュリティ動向を分析した報告書「2019年 上半期セキュリティラウンドアップ：法人システムを狙う脅迫と盗用」を本日公開したことをお知らせします。
    
「2019年 上半期セキュリティラウンドアップ」全文はこちら

2019年上半期（1～6月）脅威動向ハイライト

1.「環境寄生型」の攻撃が拡大、ファイルレス活動が前年同期比3.6倍に増加
主に標的型攻撃におけるネットワーク侵入時などに用いられる「環境寄生型（Living Off the Land）」の攻撃ですが、こうした攻撃を示唆する活動が拡大している傾向が明らかとなりました。「環境寄生型」の攻撃は、正規ツールの悪用や痕跡を残さない活動を行うことで、対策側の監視や調査を回避することを目的としています。不正プログラム本体を実行可能な状態のファイルとしてコンピュータに保存することなく活動させる「ファイルレス」は、その代表的手法です。2019年1～6月の全世界におけるファイルレス活動を示唆する挙動の検出数は、前年同期比約3.6倍に増加しました（グラフ1）。
また、Microsoft Officeのマクロ機能を利用して、PCのセットアップやトラブルシューティングなどで活用されるWindowsの標準機能「PowerShell」を起動し、不正にプログラムを実行する手法も横行しています。これらはメールに添付された文書ファイルという形式で侵入することが多く、実行形式などのファイルと比較して業務上必要なファイル形式のため、形式のみで一律に排除することが難しいと考えられます。さらに文書ファイル形式であれば、ユーザ側の注意が薄れることも、サイバー犯罪者に多用される理由として挙げられます。実際に、マクロ機能を悪用する不正プログラム「Powload（パウロード）」の全世界の検出台数は、4期連続10万件を超え、引き続き高い水準にあります（グラフ2）。さらに「Powload」は、標的とする国・地域の言語に設定されていない環境では、メインの機能を実行せず、一般的なサンドボックスによる発見や解析を回避しようとします。
正規ツールの利用や痕跡を残さない活動、監視や調査を回避する攻撃手法は、広く一般の攻撃にも拡大しており、法人組織としては痕跡消去や隠ぺい工作に対して、多様な対策技術を組み合わせて監視・追跡を行えるように体制を整えることが重要です。また、従業員に対しては「マクロの有効化は危険性を伴う」などの、セキュリティ意識の向上のための啓発活動も組織として必要となるでしょう。

●グラフ1：ファイルレス活動を示唆する挙動の検出イベント数推移（全世界）

●グラフ2：マクロ機能を悪用する「Powload」の検出台数（日本と全世界）

2. クラウドメールの認証情報を狙うフィッシング詐欺に法人も注意
2018年から活発化したフィッシング詐欺は2019年も継続中であり、特に、法人組織でも利用されるクラウドメールの認証情報を狙う攻撃が顕著化しています。実際に、全世界で2019年1～6月に、フィッシングサイトとして当社がアクセスをブロックしたURLの中で、Microsoft Office 365やMicrosoft Outlookを偽装したものが前期比約1.8倍に増加しました（グラフ3）。

認証情報を詐取されクラウドのメールシステムに不正アクセスされることにより、メールの盗み見などの情報窃取、アカウント乗っ取りによるなりすましメール送信などの被害につながる恐れがあります。また最終的には「ビジネスメール詐欺（Business Email Compromise：BEC）」や、クラウドシステムの認証情報を悪用した組織内ネットワークへの侵入など、さらなる深刻な被害を受ける可能性もあります。

対策としては、フィッシング詐欺メールの検知や不正サイトへのアクセスをブロックする製品の導入のほか、第3者からの不正アクセスを防ぐ多要素認証の導入、従業員への詐欺メールに関する教育などが必要です。

●グラフ3：「Microsoft Office 365」および「Microsoft Outlook」を偽装したフィッシングサイト数推移（全世界）

• 特別記載なき数値はすべてトレンドマイクロ調べ。2019年9月時点。
• TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。