※ 本ブログは、2018年8月22日にBromium BlogにポストされたData Talks: The Big Shift to File-Based Attacks Scrambles the Security Industry の日本語訳です。
Bromium Threat Labsデータの話ブログシリーズの第2回目は、エンドポイント上の最後の防御ラインとしてアプリケーションの隔離と制御を提供するというBromium独自の視点から、トレンドと開発をハイライトしています。第一回目のブログでは、このスペースででしかご覧になれないオリジナルのレポートをお勧めしました。今日は、ウェブベースの攻撃からファイルベースの攻撃への顕著な変化についての洞察から始めます。
過去2年間で、Webブラウザを含む攻撃からファイルを含む攻撃へと、脅威の舞台が大きく変化してきました。セキュリティ意識の高いお客様から自発的に提出されたBromiumの脅威インテリジェンスデータは、この地殻変動を明らかにしています。ブラウザ攻撃がなくなるわけではありませんが、今のところは減少しているようです。
最初に、当社のデータについて少し説明します。Bromiumのアラートは、アンチウイルスや次世代の検知ベースの製品とは異なります。検知が入ってくるマルウェアの99%をキャッチすると仮定してみましょう。残りはBromiumの分離に落ちます。この仮定の下では、Bromiumはアラートのわずか1%を生成しますが、他のすべての防御をすでにすり抜けた厄介で回避性の高いマルウェアにフラグを立てています。そのため、我々の生の数字の絶対値は非常に低い傾向があります。大手企業のヘッドラインレポートのようなアラートの量はありませんが、アラートの質やユニークさでは当社に強みがあります。
他のすべての防御策をすでに成功裏に突破した回避性の高いマルウェアを含む、1,208件の真の陽性アラート(当社の全顧客脅威データのごく一部)- これは先ほどの1%仮定では120,800件の通常アラートに相当 - を調査したところ、以下の結果を得ました。
Web = ブラウザ、プラグイン、または基盤となるオペレーティングシステムの脆弱性を突くブラウザ内ドライブバイ攻撃
ファイル = Eメール、Webダウンロード、チャットクライアント、USBメディアデバイスを介して到達する文書や実行可能ファイルからの攻撃
攻撃対象となるファイルの種類のトップはDOC、XLS、PDF、EXEであることは驚くに値しません。しかし、驚くべきことは、これらのファイルタイプの組み合わせと、その組み合わせが時代とともにどのように変化してきたかということです。2017年には、悪意のあるWord文書が顧客データセットの86%を占めていました。対照的に、2018年上半期は、悪意のある実行可能ファイルが中心的な役割を果たし、43%対34%でWord文書を抜いています。これが一時的なものなのか、それとも持続的な変化なのかは、今年の残りの期間で明らかになるでしょう。
仮説 #1: 戦術の変更 - 攻撃者は狡猾で合理的で、最も抵抗の少ない道をたどる傾向があります。簡単に言えば、金銭的なリターンが最も高いところに行くのです。サイバー犯罪者にとって有益なことに、ユーザーは悪意のある文書に簡単に騙されてしまいますし、怪しげなソースから無料のものをインストールしてWindowsの体験をカスタマイズするのが好きなのです。結局のところ、私たちの中で無料のPDFファイル連結ツールやMP4ファイルコンバータをウェブで検索することに罪の意識を感じない人はいないのでしょうか? また、Flashのアップデートを装った実行ファイルも見てきましたが、時には重要な“セキュリティの向上”を謳ってユーザーを騙してインストールさせることもあります。
仮説#2: テクノロジーの変化 - 最新の基盤に基づいて構築された新しいブラウザは、内部的に着実に安全性を高めており、アプリ、プラグイン、拡張機能のマーケットプレイスでは不正行為や悪用を取り締まっています。攻撃者が、ブラウザ以外の簡単な侵入ポイントを利用して、より良い環境を求めているのは理にかなっています。それがファイルです。
ファイルレス技術を利用したブラウザの悪用やその他のウェブベースの攻撃は、完璧なソフトウェアは不可能であるため、常に存在し続けるでしょう。しかし、現在の傾向が続く場合、セキュリティベンダーやディフェンダーにとっての影響は以下のようになるでしょう。
Web攻撃とファイル攻撃の間で起こっている“大きな変化”については、今のところここまでです。次回は、リンク、添付ファイル、ダウンロードの関係と、これらの一般的な攻撃経路が表すさまざまなリスクプロファイルについて掘り下げていきます。
Author : Michael Rosen
監訳:日本HP