悪質なサイバー攻撃は増加の一途をたどっており、サイバー犯罪者は Eメールや他 の通信チャネル経由でソーシャルエンジニアリングを第 1の攻撃ベクトルとして利用 しています。怪しげなEメールの添付ファイルは、開くとマルウェアエクスプロイト が脆弱性を突いて実行され、攻撃が開始されます。悪意ある文書もユーザーが通 信チャネルを通じて受信したリンクからダウンロードされる可能性があります。
アクロニスの専門家によると、2022 年半ばの時点でMicrosoft OfficeファイルやAdobe PDFファイルなどを利用した 攻撃または悪意ある文書が全攻撃の約 3 分の1で使用されています。業界他社も同様の報告をしています。マルウェ アは実行の連鎖はさまざまですが、通常ファイルに組み込まれています。例えば、脆弱性が最初にエクスプロイトされ、 次に特権が昇格され、マルウェアがダウンロードされ、実行されます。マクロ、シェルコード、Javaスクリプト、 さらにはファイル全体にも組み込むことができるため、Microsoft OfficeとPDFのファイルが長年にわたってサイバー 攻撃で使用されています。しかし、近年ハッカーが検索エンジン最適化(SEO)を使って悪意あるファイル、とりわ けPDF が、検索結果の上位になるよう操作しているためこの問題は悪化しています。
他の類似した問題では、PowerShellのような正当なツールによって実行される悪意あるスクリプトが関与しています。 悪意あるスクリプトを使用する攻撃数は、悪意ある文書と同様に前年比で増加しており、アクロニスの専門家は、 このような攻撃が過去 2 年間でほぼ倍増したことを確認しています。悪意あるスクリプトの目標も同じで、システム に侵入し、権限を昇格させ、ダウンロードして、ペイロードを実行します。 サイバーセキュリティ会社にとっては、上述の2つの問題は文書やスクリプトの善悪を見抜く必要があるという点で同 じものです。明るいニュースとしては、機械学習(ML)や人工知能(AI)、またはアクロニスのマシンインテリジェ ンス(MI)を使えばかなり効果的に同上の問題を解決できます。
脅威検出のためのマシンインテリジェンスの使用
アクロニスは 2017 年のActive Protectionランサムウェア技術を導入時から機械 学習の利用を開始しました。その後すぐにAI ベースの静的検出エンジンを作成し、 これは現在アクロニスの主力製品であるAcronis Cyber Protectで使用されています。
このエンジンは常にアップデートされており、新しい機械学 習モデルが導入されるたびにパフォーマンスと検出率が向上 しています。例えば、最初は実行されたプロセスのスタック トレースを分析するために使用され、その後ファイルやライ ブラリ全体を分析して悪意あるプロセスを検知するようにな りました。現在では、実行ファイルとプロセスイメージから 抽出された文字列を分析できます。追加の特徴として抽出 された文字列に含まれる数百の単語の出現頻度により、 検出率が3% 以上向上しました。
容易に想像される通り、悪意ある文書やスクリプトを検出 するために同様のアプローチが使用されます。Microsoft Office 文書から始めまてみましょう。Microsoft が最近発表 したとおり、インターネット経由のドキュメントではマクロが 既定で無効にされてきており、このアプローチを徐々に展開 し始めましたが、残念ながら、すべての問題を解決できる わけではありません。マーク・オブ・ザ・ウェブ (MOTW) 属 性は、インターネットや制限付きゾーンなどの信頼できない 場所 (ブラウザのダウンロードやEメールの添付ファイルな ど)のファイルにWindows により追加されます。要するに、 この属性は NTFSファイルシステムに保存されたファイルの みに適用され、FAT32フォーマットのデバイスに保存された ファイルには適用されません。ファイルが正当なオフィスメー ルからのものだったらどうなるでしょうか?言うまでもなく、 マクロに大きく依存する環境(例えば、会計部門など)で はうまくいきます。それにもかかわらず、このようなポリシー 対応環境はより安全になり、Emotetキャンペーンで使用さ れたようなフィッシング攻撃の典型的なケースは防御に成功 します。しかし、前述のように、多くのビジネスでは他の複 雑な状況が発生します。そのため、アクロニスのAIスペシャ リストは機械学習の力を借りて、検出エンジンを強化し悪 意ある文書を特定できるようにしました。
悪意あるマクロスクリプトはどのようなものか?下記項目が 1つでも当てはまるものは、 可能性があります。
- プロセスを作成する
- PowerShell、VBA などでスクリプトを実行する
- リモートサーバーからファイルをダウンロードする
- 他のOfficeファイルやOfficeテンプレートファイル に組み込まれる
しかし、他の要因も多数あるため、実際に検出するのはそれほど簡単ではありません。例えば、アクロニスの機械学 習モデルでは、DOCXファイルの以下の属性をチェックして判断します。
- さまざまなテキストやVBA 関数機能
- コメントやコードなどの比率機能
- マクロ自体、コード、コメントのエントロピー
- 難読化
- URLや実行ファイルなど既知のセキュリティ 侵害インジケーター(IoC)パラメータ
もちろんこれは完全なリストではありませんが、大規模な データセットで多数が分析され、常に改定、更新されると いうことを説明する助けになります。その結果、1MB 以下 に圧縮されたモデルサイズではすぐれた検出率を達成してい ます。AIとML がなければ、こうした結果を達成することは ほぼ不可能です。また、これは強固な多層防御の一部であ り、脅威がEメールスキャニングエンジンやサンドボックス、 URLフィルタリングのような他の技術で以前に検出されてい ない場合にのみ作動します。 サービスプロバイダー環境でよく使われる悪意あるAutoITス クリプトを検出する、非常に類似したアプローチが最近アロニスの専門家によって始められました。アクロニスは、 約 0.6 MBという小さなモデルを使って、92%の検出率をす でに達成しており、DOCXとともに常に改善されています。
攻撃用に改ざんされたPDF 脅威の排除
Microsoft Office Word 文書の他にAdobe ポータブルドキュ メントフォーマット(PDF)はサイバー犯罪者がシステムに 侵害したり、ユーザーマシンにマルウェアを植えつけたりす るためによく使われるツールです。PostScript 言語に基づく PDF には、テキストやハイパーリンク、マルチメディア、画像、 添付、メタデータなど多くの情報を含められるため、非常 に強力なフォーマットになっています。PDFフォーマットに は「アクション」機能があり、JavaScriptコードを実行する Webリンクやファイルを開くことができます。そして、ご想像 のとおり、不正な目的のために実行されるその他多数の操 作があります。 PDF 文書はブラウザやさまざまな読み込みソフトウェアで閲 覧することができ、そのすべてに、任意コード実行、バッファ オーバーフロー、メモリ破損、領域外読み取りなどサイバー 犯罪者が悪用できる脆弱性があります。現在、PDFリーダー 向けに何千ものCVE があり、Adobe Acrobat Reader だけ でおよそ300 種類の脆弱性が知られており、セキュリティ研 究者も、サイバー犯罪者も、ほぼ毎日新しいPDF 関連のエ クスプロイトを発見しています。
CVE-2021-28550脆弱性エクスプロイトの例:Acrobat Reader DCバージョン2021.001.20150以前、2020.001.30020 以前および2017.011.30194以前に「Use After Free」脆弱性 があります。未認証の攻撃者が、この脆弱性を利用して現行 ユーザー環境で任意コード実行を行う可能性があります。 この脆弱性の悪用には、被害者が不正なファイルを開くため のユーザーインターフェースが必要です。
アクロニスの機械学習ベースのPDF 検出モデルでは、上記の他のファイルタイプと同じように、さまざまな パラメータをチェックして正しい判断を導きます。
- エントロピー
- 総文字数
- 特別キーワード数
- 行数、特別割り当て行
- その他
その結果、非常に効果的な検出率を達成します。
サイバーセキュリティ意識向上トレーニングの有益性
この種類の検出モデルを、すぐれたサイバープロテクションソリューションに統合することは不可欠です。しかし、ユーザーが脅威とその振る舞いを認識し、適切に対応した場合には、企業全体と個人のセキュリティポスチャに とって大きな利益となります。ほとんどの悪意ある文書やスクリプトがその目的を果たすために、ユーザーの 関与を必要とするためです。つまり、ユーザーの関与がない場合は脅威もありません。
この意識向上トレーニングでは、基本に忠実で、よく知られたコミュニティルールに従う必要があります。
- Eメールやリンクの送信元を必ずチェックしてください。この人 物を知っているか?このファイルを予期していたか?単に名前や エイリアスではなく、実際のメールアドレスを見て送信元を確 認してください。
- ユーザーがすでにファイルをクリックし、不具合の兆候が出て いたり、何かの有効化を求められたり、リンクや偽のキャプチャ が表示されたりしたら、直ちにページを閉じる、またはダウン ロードしたファイルを削除するなどして、セキュリティチームに 連絡してください。
- ファイルをクリックしても何も起こらない場合も、良くない徴候 です。ファイルが開いて、予期しない事が起きた場合、既に被 害を受けている可能性があるため、セキュリティチームにすぐ 連絡してください。
最善策は、添付ファイルを開かないことであり、リンクを すぐにクリックしないことです。すべてを二重にチェックし て、それでも安全性を確信できない場合は、セキュリティ チームにお問い合わせください。注意を怠らず、安全を期 してください。