CASで検出した実績から2017年のメール脅威を振り返る

Office 365のセキュリティを強化する
340万件の脅威をブロック

2017年のメールによる脅威とセキュリティ状況について調査し、
組織が直面している問題を浮き彫りにし、
組織がとるべき保護対策を明らかにしました。

Trend Micro Cloud App Security 2017レポート:

ビジネスにおいてメールは定番のツールであり、同僚、顧客、ベンダーとの有効なコミュニケーションを可能にします。メールの機能と全体の仕組みにより、業務を推進するための重要な情報をやり取りするパイプラインの役割を果たしています。そのため、メールが不正活動のためにサイバー犯罪者の餌食となっていることに驚く人はいません。

メールは今なお不正プログラムなどの脅威における一般的な感染媒体です。2017年、Trend Micro Smart Protection Network™のデータにより、検出されたランサムウェアの94%はメールに含まれていたことが明らかになりました。一方、下半期のビジネスメール詐欺 (BEC) は上半期と比べて106%増加しています。不正なMicrosoft WordドキュメントやPDFの添付ファイルにより、この数年、世界中の組織が多額の支払いやシステムの機能停止、信用の失墜に悩まされています。

Trend Micro Cloud App Security™(以下、Cloud App Security)は、Microsoft® Office 365™ Exchange™ Online、OneDrive® for Business、およびSharePoint® Onlineのプラットフォームを保護するAPIベースのサービスです。このソリューションは、Office 365の検索を通過したメールとファイルの第2の保護層として機能します。その目的は、ランサムウェアやBECなどの高度な脅威に対して不正プログラムのサンドボックス分析や機械学習を使用し、メールの脅威の拡散を抑えることにあります。Cloud App Securityは、クラウドサービスへの侵入を試みる既知と未知のいずれのメールの脅威も検出します。

※ 全ての未知の脅威に対応するものではありません。

Cloud App Securityは、2017年全体で6万5,000件の既知のトロイの木馬、ワーム、ウイルス、バックドア型不正プログラムを検出しました。2017年の第2四半期にメールを分類する機能を強化したことで、第2四半期から第4四半期にかけて5万件を超えるランサムウェアと3,000件を超えるBECの脅威を検出する成果を挙げました。ファイル実行前の機械学習型検索とサンドボックス機能により、26万件を超える未知のメールの脅威もブロックしました。同じ期間に、280万件の既知の不正なリンクと19万件を超えるフィッシングメールをブロックしました。Cloud App Securityは、340万件に上るメールの脅威を検出してブロックすることができました。この数値には、Office 365が標準装備するセキュリティ機能による検出は除外されています。

2017年にTrend Micro Cloud App Security™によって
検出されたメールの脅威

トレンドマイクロは、企業やセキュリティ業界の他ベンダーとともに、メールの脅威と戦い続けています。とはいえ、サイバー犯罪者も標的を狙い続けるために攻撃の手法を適応、変更しています。2017年のメールの脅威とセキュリティの状況について調査し、組織が直面している問題を浮き彫りにして、組織がとるべき保護対策を明らかにしました。

メールを媒体とした高度なランサムウェアが蔓延しています。

2017年もランサムウェアの急増は続いており、Lockyは大量のスパムキャンペーンで注目を浴びました。2016年に最初に検出されて以来、Lockyはスパムメールをはじめとする様々な方法で拡散し続けています。米国ケンタッキー州を拠点とするメソジスト系の病院がデジタル恐喝の標的となり、不正なメールを介してLockyランサムウェアが送り込まれました。2017年、Lockyは最も広く配布された、メールを媒体とするランサムウェアです。大規模なスパムキャンペーンでは、配布されるLockyとともに別種のランサムウェア「FakeGlobe」も検出されました。このランサムウェアは1日で数百万回の攻撃を仕掛けました。特に、Lockyの最新亜種の1つではWordドキュメントの不正なマクロが使用されていますが、ユーザがファイルを閉じた後に実行してランサムウェアをダウンロードするようにコーディングされています。

Lockyの配布に使用されたスパムメールの例

メールを悪用したCerberランサムウェアは、最も多くの亜種が登場したランサムウェアファミリとされており、その進化のスピードで知られています。2017年の最盛期には、セキュリティ業界が採用した機械学習ソリューションに対抗しようと試みました。このCerber亜種は、公益企業を装ったメールを介して配布されました。メールには、システムに感染するために自己解凍アーカイブのリンクが埋め込まれていました。Cerberを操作する攻撃者の意図は、Cerberをダウンロードして開くようにユーザをだますことにありました。次のフローチャートは、その後に何が起こるかを示しています。

Cerberの挙動を示すフローチャート

トレンドマイクロが収集したCerberのユニークな検体として、米国、日本、台湾、オーストラリアでの感染が多いことが判明しました。

一方で、2017年の後半には新たな挙動を示すランサムウェアの亜種も見つかりました。Microsoft Word®の標準テンプレート (normal.dotテンプレート) に感染しているqkGのサンプルが発見されたのです。新しい白紙のWordドキュメントは全てこのテンプレートをベースにします。qkGは1つのファイル (およびファイルタイプ) を暗号化する最初のランサムウェアとして注目を浴びました。さらに、Visual Basic for Applications (VBA) のマクロですべて作成され、ファイルを暗号化する珍しい不正プログラムとして注目された存在でした。不正なマクロコードが組まれていることは珍しく、一般のランサムウェアファミリが本体のダウンロードを主な目的としてマクロを使用することと異なるのです。

前述のランサムウェアの脅威に加えて、メールを媒体とする他の不正プログラムファミリが新たな脅威となっています。たとえば、金融機関を標的にしたトロイの木馬「TrickBot」は、古い不正プログラム「DYRE/Dyreza」の後続バージョンであり、該当するレジストリキーを開くことで、Microsoft Outlook®で保存したデータを盗むように設計された新しい機能を備えています。

メールサービスの悪用は、Pawn Stormのようなハッカーグループでもよく行われています。このグループは、企業だけでなく政府機関も標的にした執拗なキャンペーンでメールを引き続き使用しています。2017年の後半、Pawn Stormは複数の組織に対してクレデンシャルフィッシングとスピアフィッシングの攻撃を仕掛けました。この攻撃は、Outlook Web Access (OWA) のプレビューウインドウを悪用することで行われました。

BEC攻撃は狡猾で多額の損失をもたらしました。

後から考えると、人間が注意深く見ればメールが偽装されている不審な点に気付くことは可能に思えますし、複雑なセキュリティソリューションの必要性は感じません。しかし、高度なBEC詐欺にひっかかるとき、企業は正常な判断ができなくなっているのが実態です。

BEC詐欺はきわめて悪質なことが判明しており、ソフトウェアやテクノロジの企業でも免れることはできませんでした。2017年の前半には、GoogleとFacebookに対してソーシャルエンジニアリングの策略が仕掛けられました。テクノロジ業界の巨人である両社は、ある男から1億ドル以上をだまし取られたと報じられています。申し立てによると、この男は偽造した請求書を使用して取引先の製造会社の人間であると両社に信じ込ませました。幸いなことに、両社の損失の大部分は事件後に取り戻すことができました。

トレンドマイクロの予測では、今年はBECインシデントが増加傾向にあり、全世界の損失額は90億ドルに達すると見込んでいます。FBIによると、現在、BEC詐欺は100ヵ国以上で報告されており、明らかになった損失額は2015年1月から2016年12月までの間に2,370%増加しています。

メールの脅威に対して最新の保護機能を使用します。

メールが今なお不正プログラムの脅威における最も一般的な感染媒体であることを考えれば、メールを媒体として進化と拡散を続ける脅威に対処するための多層防御が必要となります。

トレンドマイクロは昨年、機械学習に基づく不正プログラム対策をセキュリティ製品に搭載しました。ファイル実行前の機械学習型検索により、サンドボックス分析前に未知の不正プログラムを検出し、保護の強化と不審ファイルの迅速な判定が可能になります。この機能をCloud App Securityが搭載することで、Office 365のユーザを高度なセキュリティ技術で保護できます。

Cloud App Securityは、Microsoft Officeのファイルに潜む不正プログラムを検出するドキュメントエクスプロイト検出エンジンを搭載し、メールの挙動と意図を調べてBEC詐欺を特定するAI機能を備えています。Trend Micro Smart Protection Networkの広範な脅威インテリジェンスに基づいて、外部および内部のフィッシング攻撃を検出し、メッセージ本文やメールの添付ファイルに潜む、不正プログラムにつながるリンクを見つけてブロックします。Cloud App Securityは内部のメールとファイル共有サービスを検索し、すでに進行中の攻撃を検出して、侵害されたアカウントやデバイスから組織への侵入を試みる犯罪行為を発見します。さらに、サンドボックス技術と挙動分析を併用した、パターンファイル以外の技術で未知の不正プログラムを検出し、分析で得たインテリジェンスを他のセキュリティレイヤと共有します。

※ 全ての未知の脅威に対応するものではありません。

Trend Micro™ Cloud APP Security™ソリューション

メールの脅威に対抗できるセキュリティの文化を築く

ランサムウェアやBECなどの脅威によるメールの悪用は今後も続いていくでしょう。というのも、メールは組織に侵入する足掛かりに最も利用しやすいプラットフォームであることがわかっているからです。多層的なメールセキュリティソリューションの使用に加えて、組織をサイバー犯罪から守る決め手となるのが従業員です。企業にとって最も重要なコミュニケーションツールを保護するには、セキュリティの文化を築いてメールの脅威に対処することが不可欠です。

資金の移動に多層的な識別プロセスを使用すると、BEC詐欺を軽減できます。IT専門家と組織の従業員は、BECの兆候に注意を払い、インバウンドメッセージとアウトバウンドメッセージを検査するなど、正しいメールのプロトコルを実践するように訓練を受ける必要があります。ソーシャルエンジニアリングのスパムメールに対処するベストプラクティスを採用することで、メールを媒体とするランサムウェアがエンドポイントやシステムに感染するのを防ぐこともできます。

さらに、サイバー犯罪者は様々なソーシャルエンジニアリングの手法を使用して、標的となるユーザがファイルをダウンロードしたり機密情報を提供するよう仕向けます。そのため、従業員に対していかにしてフィッシング攻撃を回避するかを教育することが重要です。信頼できるWebサイトをブックマークに登録する、不審な約束を掲げたリンクは絶対にクリックしない、といった簡単な手順が大きな効果をもたらします。

ネットワーク管理者は、スパムメール対策フィルタでポリシー管理や脅威検出レベルのしきい値などを適切に設定します。IT専門家は、SPF (Sender Policy Framework)、Sender ID、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting & Conformance) などのセキュリティ対策を採用し、会社ドメインのスプーフィングを阻止する必要があります。

サイバー犯罪者が組織のネットワークにすでに侵入している場合は、復旧の手順を踏むことになります。企業のセキュリティポリシーが適切に実施されている場合でも、偶然の空白が生まれることがあります。こうした攻撃に対する復旧は、攻撃のシナリオと脅威のペイロードによって異なります。フィッシング攻撃に対しては、パスワードのリセットとそれに続くプロアクティブなメール削除が優先事項となります。ネットワーク管理者は検証されていないメールのリンクや実行可能ファイルをクリックしないようにユーザへ事前通知する必要もあります。

メールの脅威は進化し、広く浸透して多額の損失を与えています。しかし、サイバーセキュリティに対する従業員の意識向上を図り、Trend Micro Cloud App Securityのようなソリューションを併せて使用することで、大きな損害をもたらす脅威を阻止することができます。

このページは、Trend Micro Cloud App Security 2017 Reportを翻訳したものになります。
原文公開時期:2018年3月20日

記事公開日 : 2018.4.27
 この記事は、公開日時点での情報です

TREND MICRO、Trend Micro Smart Protection Network、および SPNはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2018年4月現在のものです。内容は予告なく変更になる場合がございます。