ニュース

マイクロソフトが地下経済の発展に注意喚起、RiskIQ買収後の新ソリューションも紹介

 「ランサムウェアの地下経済は成熟しており、RaaS(Ransomeware as a Service)がカスタマーサービスつきで販売されている。需要の高まりがない時には割引サービスまで行っている」――。

 29日に日本マイクロソフト株式会社が開催したセキュリティ勉強会にて、米Microsoft セキュリティソリューションエリア Chief Security Advisorの花村実氏が地下経済の実態をこのように説明した。

米Microsoft セキュリティソリューションエリア Chief Security Advisor 花村実氏

 花村氏は、脅威が到達するまでの時間についても触れ、フィッシングメールの場合、メールを開封してからアカウントの個人データが抜き取られるまでの中間値は72分だと述べている。また、デバイスが侵害された場合、そこから脅威が水平展開されるまでの中間値は1時間42分だとしている。

 ただし、攻撃者は経済活動としてこのような攻撃を仕掛けているため、大半の攻撃はそれほど複雑ではないという。中でも、盗まれたパスワードや保護されてないIDを活用した攻撃は今でも多いため、「多要素認証や生体認証、異なるデバイスでの認証など、Microsoft Authenticatorなどのツールを使いこなして保護する必要がある」と花村氏はアドバイスする。

 また、使われていない時代遅れの製品がそのまま社内ネットワークにつながっており、そこから侵入されるケースもあると花村氏は指摘、「攻撃対象領域にどのような脆弱性があるか常にモニタリングし、構成ミスがないか、また特権IDを過剰に付与していないか、確認して防御することが重要だ」とした。

 もちろん、マイクロソフトは脅威に対して注意喚起するだけでなく、さまざまなソリューションも提供している。セキュリティベンダーの買収にも積極的で、2021年にはこの分野でRiskIQ、CloudKnox、ReFirm Labsの3社を買収した。

 8月には、脅威インテリジェンス製品「Microsoft Defender Threat Intelligence」と、攻撃対象領域管理製品「Microsoft Defender External Attack Surface Management(EASM)」を発表しているが、これはRiskIQのテクノロジーを統合したものだ。

セキュリティベンダーの買収に積極的なマイクロソフト
8月に発表した2つのソリューション

 米Microsoft セキュリティソリューションエリア Security Global Black Beltの中村弘毅氏は、「Microsoft Defender Threat Intelligenceは、主にSOCやCSIRTが利用する脅威インテリジェンスプラットフォーム。一方のMicrosoft Defender EASMは、攻撃者の視点から顧客のビジネスを監視する製品だ」と説明する。

米Microsoft セキュリティソリューションエリア Security Global Black Belt 中村弘毅氏

 Microsoft Defender Threat Intelligenceは、RiskIQが提供していた分析基盤を統合したソリューション。グローバルな収集ネットワークによってインターネットから脅威インテリジェンスを収集し、マイクロソフトのセキュリティ専門家と機械学習によって処理したシグナルを提供する。

 中村氏は、「同製品にて、攻撃者や攻撃ツールの手法を理解するための脅威情報データベースを提供する。これには、IPアドレスやドメイン、レピュテーションスコアなど、分析のインサイトとなるような情報や脅威に関する情報なども含まれる。こうしたデータをお客さまのセキュリティ専門チームが分析に活用し、次のアクションに結びつくよう支援する」としている。

Microsoft Defender Threat Intelligenceについて

 一方のMicrosoft Defender EASMは、攻撃者と同じ視点でユーザーが自らの環境を確認できるというもので、RiskIQの攻撃対象領域ソリューションが統合されている。同ソリューションにより、「日々インターネットをスキャンして、顧客の環境でどのような資産が外部に公開されているのか、それが顧客にどういった影響を与えるのかを、短時間で理解できるよう支援する」(中村氏)という。

 具体的には、外部に露出した攻撃対象領域を発見してマップ化することで、インターネットに接続されている顧客インフラに関するインサイトを提供する。これにより、未知の脅威の特定や排除、リスクの優先順位付け、ファイアウォールを超えた脆弱性と露出の制御を強化できるという。また、把握済みのインフラだけでなく、定期的に顧客の資産をスキャンし、時間の経過とともに新しい資産を可視化。脆弱性とインフラのデータを活用し、懸念対象となる領域のインサイトを示すとしている。

Microsoft Defender EASMについて
Microsoft Defender EASMの画面

 このようなソリューションが必要となっている背景について、中村氏は「デジタル化が進んだことから、企業は複雑なマルチクラウド環境でかつてないほど大量のワークロードやアプリケーション、インフラを管理しており、セキュリティが追いついてない。また、急速なデジタル化によって、インターネットに公開されたアプリやシステムにはヒューマンエラーによる設定上の問題などが生じている。さらに、現代の攻撃対象にはシャドーITのような管理されていない資産も含まれているため、攻撃対象範囲を可視化する必要がある」とした。