トレンドマイクロ、日本と海外の脅威動向を分析した「2019年上半期セキュリティラウンドアップ」を公開
- 2019/09/10 10:00
- SecurityInsight
トレンドマイクロは9月5日、日本国内および海外における最新のセキュリティ動向を分析した報告書「2019年上半期セキュリティラウンドアップ:法人システムを狙う脅迫と盗用」を公開したことを発表した。
■2019年上半期(1~6月)脅威動向ハイライト
1.「環境寄生型」の攻撃が拡大、ファイルレス活動が前年同期比3.6倍に増加
主に標的型攻撃におけるネットワーク侵入時などに用いられる「環境寄生型(Living Off the Land)」の攻撃を示唆する活動が拡大している傾向が明らかとなった。
「環境寄生型」の攻撃は、正規ツールの悪用や痕跡を残さない活動を行なうことで、対策側の監視や調査を回避することを目的としている。不正プログラム本体を実行可能な状態のファイルとしてコンピューターに保存することなく活動させる「ファイルレス」は、その代表的手法。2019年1~6月の全世界におけるファイルレス活動を示唆する挙動の検出数は、前年同期比約3.6倍に増加した。
また、Microsoft Officeのマクロ機能を利用して、PCのセットアップやトラブルシューティングなどで活用されるWindowsの標準機能「PowerShell」を起動し、不正にプログラムを実行する手法も横行している。
これらはメールに添付された文書ファイルという形式で侵入することが多く、実行形式などのファイルと比較して業務上必要なファイル形式のため、形式のみで一律に排除することが難しいと考えられる。さらに文書ファイル形式であればユーザー側の注意が薄れることも、サイバー犯罪者に多用される理由として挙げられる。実際に、マクロ機能を悪用する不正プログラム「Powload」の全世界の検出台数は、4期連続10万件を超え、引き続き高い水準にある。
さらに「Powload」は、標的とする国・地域の言語に設定されていない環境では、メインの機能を実行せず、一般的なサンドボックスによる発見や解析を回避しようとする。
2.クラウドメールの認証情報を狙うフィッシング詐欺に法人も注意
2018年から活発化したフィッシング詐欺は2019年も継続中であり、特に、法人組織でも利用されるクラウドメールの認証情報を狙う攻撃が顕著化している。実際に、全世界で2019年1~6月に、フィッシングサイトとしてトレンドマイクロがアクセスをブロックしたURLの中で、Microsoft Office 365やMicrosoft Outlookを偽装したものが前期比約1.8倍に増加した。