Microsoft デジタル防衛レポート 2023 の内容が示しているとおり、サイバー脅威はますます巧妙化、高速化、大規模化を続け、未だかつてない数量のサービス、デバイス、ユーザーを危険にさらしています。この難題に立ち向かい、将来、戦況の安定性改善に AI を活用できるようにするためには、分析情報 10 項目のそれぞれについて断固とした行動をとることが必要不可欠です。
登録 を今すぐして、Microsoft デジタル防衛レポート 2024 の洞察を特集したオンデマンド Web セミナーを視聴してください。
Microsoft デジタル防衛レポート 2023 に示された重要な分析情報 10 項目
Microsoft は、この世界の安全性を高める取り組みに注力する企業として、セキュリティ研究、イノベーション、およびグローバルなセキュリティ コミュニティへの多大な投資を続けてきました。当社は、多様なセキュリティ データにアクセスできる特有の立ち位置から、他社にはない視野でサイバーセキュリティの状況を把握し、兆候をとらえて攻撃者の次の行動を先読みすることができます。
より安全な世界づくりを追求してきた長年の取り組みの一環として、Microsoft は、セキュリティ研究、イノベーション、グローバルなセキュリティ コミュニティに以下のような投資を行っています。
この画像の詳細については、レポート全文の 6 ページをご覧ください
成功したサイバー攻撃のほとんどは、数種類の基本的なセキュリティ衛生管理策を実践していれば阻止できたはずのものです。ハイパースケールのクラウドを利用すると、それらの対策を既定で有効にすることや、顧客による実装の手間を抽象化によって解消することができ、実践しやすさが向上します。
サイバー衛生管理の釣鐘曲線。Microsoft デジタル防衛レポート (MDDR) 2023 年版より転載。この画像の詳細については、レポート全文の 7 ページをご覧ください
サイバー衛生管理の基本
多要素認証 (MFA) を有効にする: ユーザー パスワードの侵害からシステムを守り、ID の回復性をより厚く確保することができます。
ゼロ トラストの原則を適用する: あらゆるレジリエンス計画の要は、攻撃の影響を限定することであり、そのための原則は次のとおりです。(1) 明示的に確認する。リソースへのアクセスを許可する前には、ユーザーとデバイスの状態が正常であることを必ず確認します。(2) 最低特権アクセスを採用する。目的のリソースへのアクセスに必要な権限だけを与え、それ以外のアクセスは許可しません。(3) 侵害が既に起きている前提で行動する。システムの防御が既に突破され、セキュリティ侵害が発生している可能性を常に想定します。したがって、攻撃を発見するための環境監視は常に実施し続けます。
拡張検出と応答 (XDR) およびマルウェア対策を使用する: 攻撃を検出して自動的に阻止する機能と、分析情報をセキュリティ運用ソフトウェアに提供する機能を備えたソフトウェアを導入します。脅威検出システムからの分析情報を監視する活動は、迅速な対応力を実現するために不可欠です。
最新の状態を保つ: パッチを適用せず古い状態のままになっているシステムは、攻撃者に悪用されます。ファームウェア、オペレーティング システム、アプリケーションを含め、システム全体を必ず最新の状態に保つことが重要です。
データを保護する: 重要なデータはどれなのか、どこに存在するか、十分なセキュリティが確保されているかを把握していなければ、適切な保護策を実施することはできません。
Microsoft のテレメトリによると、ランサムウェア攻撃は昨年よりも頻繁に発生しており、なかでも、人間が操作するランサムウェア攻撃は 2022 年 9 月以降 3 倍に増えています。今後、ランサムウェアのオペレーターは、攻撃の規模と効果を最大化するために自動化、AI、ハイパースケール クラウド システムの活用を模索していくと考えられます。
ランサムウェアの情勢
この画像の詳細については、レポート全文の 2 ページをご覧ください
ランサムウェアの排除と 5 つの基本原則
Microsoft では、ランサムウェアから ID、データ、エンドポイントを守るためにすべての企業が実装すべきだと考えられる 5 つの基本原則を特定しました。
- フィッシング耐性がある資格情報を使用した最新の認証
- テクノロジ スタック全体に最低特権アクセスを適用
- 脅威とリスクのない環境
- コンプライアンス態勢管理と、デバイス、サービス、資産の正常性
- ユーザー データとビジネス クリティカル データの、自動クラウド バックアップおよびファイル同期
Microsoft Entra のデータによると、パスワード攻撃の試行件数は、前年の同期間に比べて 10 倍以上増加しています。攻撃を未然に防ぐ 1 つの方法としては、フィッシング不可能な資格情報 (Windows Hello for Business、FIDO キーなど) を使用することが考えられます。
パスワード攻撃の件数を前年の同期間と比較したグラフ。この画像の詳細については、レポート全文の 16 ページをご覧ください
ご存知ですか?
これほどまでパスワード攻撃が蔓延している主な理由の 1 つは、セキュリティ体制の弱さです。多くの組織は、まだユーザー認証に MFA を導入しておらず、フィッシング、資格情報スタッフィング、ブルートフォース攻撃に対して無防備なままになっています。
脅威アクターは、ソーシャル エンジニアリングの手口とテクノロジの使い方を工夫し、より高度でコストのかかる BEC 攻撃を実行しています。Microsoft デジタル犯罪対策部門としては、公共部門と民間部門を含めたインテリジェンス共有体制を強化することで、より迅速で実効性の高い BEC 対応を実現できると考えています。
2022 年 4 月から 2023 年 4 月までの期間、BED 攻撃の試みが観測された 1 日あたりの件数。この画像の詳細については、レポート全文の 33 ページをご覧ください
ご存知ですか?
Microsoft デジタル犯罪対策部門は、プロアクティブな行動方針のもと、常に潜在的なサイバー脅威を見つけてサイバー犯罪者の機先を制することに努めており、その一環として、DDoS サービス提供サイト 14 個 (ダーク Web 上のサイトを含む) を対象とした能動的な追跡および監視活動を展開しています。
国家支援型アクターは、情報収集活動の一環として、グローバルなサイバー作戦の展開範囲を拡大してきました。多くのグループは地政学的目標の追求やスパイ活動に主眼を置いて活動しているため、特に標的にされやすいのは、重要インフラストラクチャ、教育、政策立案に携わる組織です。スパイ関連の侵害が発生した可能性を検知するには、メールボックスやアクセス許可の変化を監視するなどの手順が実施されます。
以下に、標的になることが多い国々*を地域別に示します。
世界の国家支援型脅威アクターの状況を示すスナップショット。データの詳細な内訳についてはレポートをご覧ください。この画像の詳細については、レポート全文の 12 ページをご覧ください
ご存知ですか?
2023 年、Microsoft は脅威アクターの新しい命名分類法を発表しました。これは、脅威アクター情報の参照を従来よりも体系的かつ手軽に行えるようにし、お客様とセキュリティ研究者にとっての明確性を高めるための方策です。
国家支援型アクターは、自国側に有利なプロパガンダを広め、社会の緊張状態を強め、疑心暗鬼と混乱を煽るために、影響工作とサイバー作戦を並行して展開することが増えています。多くの場合、そうした作戦は軍事的な紛争や国政選挙に関連して行われます。
Blizzard アクター カテゴリ
ロシア系の国家支援型アクターは、活動範囲をウクライナからその他の領域へと拡大し、キーウの支持勢力、とりわけ NATO 加盟国を標的にしています。
Typhoon アクター カテゴリ
中国は、世界的な影響力の増大と情報収集という 2 つのテーマを追求する姿勢を反映させ、活動の規模と洗練度を高めています。標的となっているのは、米国の防衛および重要インフラストラクチャ、南シナ海の国々、および一帯一路構想のパートナーなどです。
Sandstorm アクター カテゴリ
イランは、アフリカ、ラテンアメリカ、アジアへとサイバー活動の対象範囲を拡大しました。影響工作を非常に重視した手法で、湾岸アラブ諸国におけるシーア派の不安を煽り、アラブとイスラエルの関係正常化に対抗する立場へのテコ入れを図っています。
Sleet アクター カテゴリ
北朝鮮は 2022 年にサイバー作戦を高度化させ、特に暗号通貨の盗難やサプライ チェーン攻撃を強化しました。
ご存知ですか?
AI でプロフィール写真を偽造する手法は国家支援型の影響工作において長年活用されていますが、いっそう洗練度が高まった AI ツールによってインパクトの強いマルチメディア コンテンツを生成できるテクノロジが広く普及する中、それを活用するトレンドが今後続くと考えられます。
攻撃者は、情報技術とオペレーショナル テクノロジ (IT-OT) の大きな脆弱性を標的にする傾向を強めていますが、これは防御することが難しい領域です。たとえば、お客様のネットワーク上に存在する IoT (モノのインターネット) デバイスの 78% に既知の脆弱性があるにもかかわらず、46% はパッチの適用が不可能です。堅牢な OT パッチ管理システムはサイバーセキュリティ戦略に欠かせない要素である一方、OT 環境のネットワーク監視によって悪意あるアクティビティを検知することが役立つ可能性があります。
この画像の詳細については、レポート全文の 61 ページをご覧ください
ご存知ですか?
お客様のネットワーク上に存在する OT デバイスの 25% は、サポート対象外のオペレーティング システムで稼働しているため、サイバー脅威の進化に対応する重要なアップデートや保護策を適用できず、いっそうサイバー攻撃を受けやすい状態に置かれています。
AI を活用してサイバーセキュリティ作業の自動化や強化を実現し、目に見えないパターンや行動を検知して防御に生かすことは、サイバーセキュリティの拡充に役立つと考えられます。LLM には、脅威インテリジェンス、インシデント対応/復旧、監視/検出、テスト/検証、教育、セキュリティ/ガバナンス/リスク/コンプライアンスなどの領域において有効活用できる可能性があります。
Microsoft の研究者と応用科学者は、サイバー防御に LLM を適用する多種多様なシナリオを検討しています。以下はその例です。
この画像の詳細については、レポート全文の 98 ページをご覧ください
ご存知ですか?
Microsoft の AI Red Team は、安全性の高い AI を利用できる未来の実現に取り組む学際的な専門家チームです。現実の世界で活動している敵対者の TTP (戦術、技術、手順) を再現することで、リスクの見極め、見つけにくい問題点の発見、仮定の検証、および、AI システムの全体的なセキュリティ体制の改善を進めています。 Microsoft の AI Red Team の詳細については、「より安全な AI の未来を構築する Microsoft AI Red Team」 | (Microsoft Security ブログ) をご覧ください。
サイバー脅威の進化に対抗するには、官民のコラボレーションによって集合知を充実させ、回復力の強化を促し、セキュリティ エコシステム全体に関する緩和ガイダンスを整備していくことがきわめて重要です。たとえば 2023 年には、Microsoft と Fortra LLC、Health-ISAC が協力して、サイバー犯罪インフラストラクチャにおける不正な Cobalt Strike 使用の阻止に取り組みました。その結果、米国内のサイバー犯罪インフラストラクチャを 50% 縮小させることができました。
米国内でクラック版 Cobalt Strike サーバーの稼働が 50% 縮小したことを示すグラフ。この画像の詳細については、レポート全文の 115 ページをご覧ください
ご存知ですか?
世界規模のイニシアティブ Cybercrime Atlas では、40 を超える民間と公共部門のメンバーが多様なコミュニティを形成し、サイバー犯罪についての一元化された知識共有、コラボレーション、調査活動を展開しています。その目的は、インテリジェンスを提供して法執行機関や民間における対応行動の便宜を図り、サイバー犯罪者の活動を阻止し、逮捕や犯罪インフラストラクチャの解体につなげることです。
世界的にサイバーセキュリティ専門家と AI 専門家が不足している状況を改善するには、教育機関、非営利団体、政府、企業が戦略的な協力関係のもとで取り組む必要があります。その活動の負担を AI の活用で一部軽減できる可能性があることから、企業におけるトレーニング戦略の最優先事項に AI スキルの育成が含まれています。
サイバーセキュリティ専門家に対する需要は、直近の 1 年間で 35% 増大しました。この画像の詳細については、レポート全文の 120 ページをご覧ください
ご存知ですか?
Microsoft AI Skills Initiative では、LinkedIn と共同開発した新しい無料コースワークを提供しています。このワーカー向けコースを履修すると、AI の入門的な概念 (責任ある AI のフレームワークなど) を学ぶことができ、修了時には Career Essentials 認定証が発行されます。
Microsoft Security をフォロー