サイバー脅威
アウトブレイク予測:行動分析と予測モデルに基づくプロアクティブなサイバーリスク管理
TrendAI™ Researchは、ユーザの行動やマシンの利用パターンがマルウェアリスクを左右する重要な要因であることを明らかにしました。本調査では1,000万台以上のエンドポイントを分析し、リスクが偶発的なものではなく、文脈に大きく依存していることを確認しています。また、組織がセキュリティ態勢を強化するための具体的な示唆も得られています
- TrendAI™ Researchの調査により、エンドポイントのリスクはランダムではなく、ユーザの行動に大きく影響されることが確認されました。多数のアプリケーションのインストール、ギャンブルサイトへのアクセス、夜間中心のデバイス利用といった行動は、特定のマルウェアへの曝露リスクを高める傾向があります。
- 本マルチエンジン分析で特定された高リスクのエンドポイントを調査した結果、特定の行動が異なるマルウェア種別への曝露に直接影響していることが明らかになりました。これは、サイバー犯罪者が特定のターゲットやビジネスモデルに合わせて攻撃を設計しているという仮説を裏付けるものです。
- 行動分析と高度な統計モデリングを組み合わせることで、マルウェア曝露をより明確かつ説明可能な形で予測できるようになります。これにより、組織はリスクの高いユーザやマシンを事前に特定し、防御を強化することが可能になります。
マルウェアやランサムウェア攻撃は、ますます高度化・大規模化しており、継続的に押し寄せる脅威に直面する中で、世界中の組織におけるコスト増加、リソース消費の拡大、業務停止といった影響を引き起こしています。アンチマルウェア技術を中核とするセキュリティソリューションやプラットフォームは依然として信頼性が高く不可欠ですが、サイバー脅威の急速な進化に対応するためには、従来のリアクティブな対策だけでなく、よりプロアクティブに防御を計画できる仕組みを併用することが求められています。
こうしたニーズに応えるため、TrendAI™はTrendAI Vision One™を提供しています。本プラットフォームは、重要な原則を実運用環境に適用するものです。さらに、TrendAI Vision One™ Cyber Risk Exposure Management (CREM)およびTrendAI Vision One™ Cyber Risk Quantification (CRQ)は、テレメトリと分析技術を活用してエンドポイント、ネットワーク、ユーザの活動を評価し、将来的なマルウェア発生確率の推定や、リスクに基づく意思決定の支援を可能にします。
サイバー犯罪者に対抗する業界全体の取り組みの一環として、TrendAI™ Researchは、将来のマルウェアアウトブレイクの発生可能性をどのように予測できるかを検証する研究を実施しました。この研究は、多くの脅威がランダムに発生するのではなく、後に被害者となるユーザの行動に影響されているという考えに基づいています。この仮説を裏付けるため、TrendAI™ Researchは、Webトラフィック、アプリケーション利用状況、ユーザインタラクションを含む大規模かつリアルタイムの活動データを分析し、統計モデルによってリスクを定量化しました。さらに、収集された行動データは、2つの統合分析エンジンを用いて将来の攻撃リスクの推定に活用されました。
第1のエンジンであるオッズ比生成器(ODG)は、既存の研究に基づいて構築されており、確立された統計手法を用いて、特定のユーザ行動と将来の感染リスク(脅威カテゴリ別)との関連性を明らかにします。オッズ比生成の主な結果の一部を図2に示します。
今回の調査における仮説を裏付ける形で、ODGの結果は、使用するソフトウェアアプリケーションの数が多い場合(159以上)、トロイの木馬などのバックドア型マルウェアに遭遇する確率が61%増加することを示しています。これは、ユーザがインターネット上で見つけたアプリケーションを自由にダウンロード・インストールできるデスクトップ環境では(すなわち、アプリケーションのホワイトリストを定義する企業ポリシーが存在しない場合)、それらの中にマルウェアが含まれている可能性が高まるためと考えられます。
興味深いことに、ギャンブルサイトへのアクセスは、望ましくない可能性のあるアプリケーション(PUA、+91%)、トロイの木馬(+78%)、ハッキングツール(いわゆる「ハックツール」、+37%)へのリスクを高める一方で、暗号通貨マイナー(コインマイナー)、ランサムウェア、ウイルスへの曝露とは関連が見られませんでした。これは、サイバー犯罪者が用いる配布モデルの違いにより、特定の種類のマルウェアが特定の種類のウェブサイトを通じて拡散する傾向があるためです。
さらに、エンドポイントが主に夜間に使用されている場合(利用時間の85%)、ランサムウェア感染のリスクが最大で92%増加することが確認されました。これは、夜間においてユーザがより安全性の低い行動をとりやすく、不審なウェブサイトへのアクセスや未確認のリンクやファイルのクリック・ダウンロードといった行動が増えることに起因すると考えられます。
第2のエンジンであるマルチラベル分類器(MLC)は、これらの知見を高度なモデリングによってさらに精緻化し、コインマイナー、ハックツール、PUA、ランサムウェア、トロイの木馬、ウイルスの6種類のマルウェアについて、特定のマシンに対する感染確率を同時に予測することを可能にします。
1か月間にわたり、217か国・822組織にまたがる1,070万台のエンドポイントを分析した結果、TrendAI™ Researchは表1に示す通り、分析対象の31.61%がリスク0〜20の低リスク帯に属し、過半数(57.55%)のマシンが中リスク帯(21〜40および41〜60)に位置していることを確認しました。また、高リスク帯である61〜80および81〜100に該当するのは、それぞれ10.36%および0.48%でした。この結果は、極端に高いリスクは稀である一方で、大多数のユーザが依然として脆弱な中間ゾーンに存在していることを示しており、プロアクティブなセキュリティプラットフォームの活用やユーザ行動に関するトレーニングへの投資を通じて、セキュリティ態勢を強化する必要があることを示唆しています。
マルウェアアウトブレイクへの曝露リスクが非常に高い(スコア81〜100)と特定されたエンドポイントについて、その利用実態を把握するための分析を実施しました。これは、マシンの利用方法が特定のマルウェア種別の被害に遭う主要因であるという当初の仮説を検証するためです。各マルウェアカテゴリごとに、高リスクのエンドポイント500台を無作為に抽出し、それらのシステムアクティビティログから、エンジニアリングソフトウェア、ERP(基幹業務システム)プラットフォーム、ゲームなどのインストール済みアプリケーションの一覧を取得しました。その後、DLLファイルやドライバ、既知のOSアプリケーションを除外し、重複する製品名を削除することで、計算効率の向上を図りました。図3および図4に、この分析結果の概要を示します。
なお、今回の調査で対象とした1,070万台のエンドポイントの多くは、大規模企業のネットワーク環境に属しており、日常業務に使用される一般的なデスクトップPC、高度な処理を行う高性能マシン、サーバなど、業務用途で利用される多様なシステムが含まれています。
本研究の結果は、サイバー犯罪者がそれぞれの目的やビジネスモデルに応じて異なる形態のマルウェアキャンペーンを展開していることから、リスクが極めて個別性の高いものであることを示しています。そのため、マシン上およびインターネット上でのユーザの行動が、感染リスクの推定における主要な要因となります。TrendAI™ Researchがどのようにこの相関関係を定量化したかについては、こちらのレポートをご参照ください。また、主なポイントについてはカスタマーアドバイザリ(英語)でもご確認いただけます。
さらに、これらの累積的な分析結果から重要な脅威情報が導き出されており、製品イノベーションや競争優位性の強化に寄与しています。特に、CREMにおけるCyber Risk Index (CRI)の改善に直接貢献しています。オッズ比分析およびマルチラベル分類を活用することで、観測された行動に基づいた、特定のマルウェア種別ごとの説明可能なリスクスコアが生成されます。本研究で示された手法は、CREMおよびCRIの進化に継続的に反映されており、マルウェア脅威全体に対応するプロアクティブなセキュリティ戦略の基盤を提供しています。また、TrendAI Vision One™を導入する組織は、リスクの高いエンドポイントやユーザを特定し、それに応じて優先的に対策を講じることが可能になります。
参考記事
By Marco Balduzzi (Technical Research Lead, Forward-Looking Threat Research Team), Roel Reyes (Senior Threat Researcher, Forward-Looking Threat Research Team), Jessica Balaquit (Threat Researcher, ML/AI Research), Ryan Flores (Director of Technology Research, Threat Research), Benjamin Zigh (Director, Threat Research Insights)
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)