攻撃活動の痕跡を残さない「環境寄生型攻撃」が拡大 トレンドマイクロが分析：サンドボックスを回避する不正プログラムも

トレンドマイクロが公開した「2019年 上半期セキュリティラウンドアップ：法人システムを狙う脅迫と盗用」によると、攻撃活動の痕跡を残さない環境寄生型攻撃が拡大している。

[＠IT]

　トレンドマイクロは2019年9月5日、「2019年 上半期セキュリティラウンドアップ：法人システムを狙う脅迫と盗用」を公開した。これは全世界の最新セキュリティ動向を分析した報告書で、「環境寄生型（Living Off the Land）」の攻撃が拡大しているという。

　環境寄生型攻撃は、主に標的型攻撃などでのネットワーク侵入時に用いられる。正規ツールの悪用などによって、攻撃活動の痕跡を残さない。これによって、対策側の監視や調査を回避する。

増加する「ファイルレス」攻撃

　環境寄生型攻撃の代表例が「ファイルレス」で、不正プログラムを実行可能な状態のファイルとして攻撃対象のコンピュータに保存することなく活動する。トレンドマイクロによると、2019年1〜6月に検出したファイルレス活動を示唆する挙動は71万733件で、対前年同期比約3.6倍に増加した。

ファイルレス活動を示唆する挙動の検出イベント数推移（出典：トレンドマイクロ）

環境寄生型攻撃の一面も持つ「Powload」

　電子メールの添付ファイルを介して侵入する手口も依然として横行している。その代表例が「Microsoft Office」のマクロ機能によって、Windows PowerShellを実行するというものだ。マクロ機能を悪用する不正プログラム「Powload」の検出台数は、4期（2年間）連続で10万件以上となった。サイバー犯罪者がOfficeのマクロ機能を多用する理由として、トレンドマイクロでは、電子メールに添付されるのが一般に業務上必要なMicrosoft Officeの文書ファイルであるため、ファイル形式だけで一律に排除しにくいだけでなく、ユーザーの注意も薄れると分析している。

　Powloadは、環境寄生型攻撃の一面も併せ持つ。Powloadは、標的とする国や地域の言語に設定されていない環境では、メインの機能を実行せず、一般的なサンドボックスによる発見や解析を回避しようとする。トレンドマイクロによると、こうした監視や調査を回避する攻撃手法は、広く一般の攻撃にも拡大しているという。同社は、痕跡消去や隠蔽（いんぺい）工作に対して、多様な対策技術を組み合わせて監視や追跡ができるように体制を整えることが重要だとしている。

マクロ機能を悪用する「Powload」の検出台数（出典：トレンドマイクロ）

Microsoft Officeに偽装したフィッシングサイト

　一方、フィッシング詐欺も増加傾向にある。2019年上期は特に、法人組織が利用するクラウドメールの認証情報を狙う攻撃が顕著化した。2019年1〜6月に、フィッシングサイトとしてトレンドマイクロがアクセスをブロックしたURLの中で、「Microsoft Office 365」や「Microsoft Outlook」を偽装したものは、対前期比約1.8倍の5万8325件あった。

「Microsoft Office 365」および「Microsoft Outlook」を偽装したフィッシングサイト数推移（出典：トレンドマイクロ）

　認証情報を詐取されると、メール情報を窃取されるだけでなく、なりすましメールの送信などの被害につながる。ビジネスメール詐欺や、クラウドシステムの認証情報を悪用した組織内ネットワークへの侵入など、深刻な被害を受ける危険性もある。そのためトレンドマイクロでは、フィッシング詐欺メールの検知や不正サイトへのアクセスをブロックする製品の導入、第三者からの不正アクセスを防ぐ多要素認証の導入、従業員への詐欺メールに関する教育などが必要だとしている。