攻撃者は Windows だけを狙うわけではないため、Microsoft のセキュリティ ツールは Microsoft プラットフォーム専用ではありません。
「ここ数年、脅威の状況は変化し、攻撃者やサイバー犯罪者はあらゆるプラットフォームを等しく標的にしています」と、マイクロソフトのセキュリティリサーチ担当パートナーディレクター、タンメイ・ガナチャリヤ氏はTechRepublicに語った。「Windows以外のプラットフォームで発見・報告される脆弱性が大幅に増加しているだけでなく、マルウェアや脅威キャンペーン全般も増加しています。」
かつてはデスクトップ OS として最も多く利用されていた Windows が攻撃者の最も人気のターゲットでしたが、CVE に関する MITRE の統計によると、他のプラットフォームで発見される脆弱性の数は急増しています。
「Windows の保護はここ数年でどんどん改善されているため、現在、簡単に狙える攻撃は Windows のエンドポイントではなく、安全だとみなされている他のエンドポイントです」とガナチャリヤ氏は述べた。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
BYODポリシーの導入により、企業ネットワークはより多様化しており、かつては企業ネットワークにのみ接続されていたデバイスも、今ではインターネットにも接続されるようになっています。攻撃者もエンドポイントデバイスへの侵入に加え、認証情報やIDも標的にするように変化しています。
「確かに侵入は可能ですが、攻撃者にとってはログインできればそれでいいのではないでしょうか?」とガナチャリヤ氏は言う。「特定のネットワーク上の従業員がログインするどのデバイスからでも、個人情報を盗むことができるのです。」
セキュリティにおけるエンドツーエンドのアプローチの重要性
エンドポイントへの攻撃を検知・防御することは、ネットワークとそれに接続するリソースを保護するための一環に過ぎず、必ずしもすべてをタイムリーに検知できるとは限りません。エンドツーエンドのアプローチが必要です。
「ネットワークの脅威モデル化を行う際には、ネットワーク内でソフトウェアやコードを実行するあらゆるものを考慮し、計画を立てる必要があります」とガナチャリヤ氏は述べた。「これらのデバイスをどのように識別するのか?どのようにセキュリティを確保するのか?あらゆる種類のデバイスから届くアラートにどのように対処するのか?そして、すべてのデバイスで均等にアラートに対応するためのプレイブックは用意されているのか?脅威を防御できずに検知された場合、アラートが発生した際にどのように追跡し、対応するのか?」
エンドポイントから始める
エンドポイントだけに頼るのではなく、エンドポイントから始めることが重要です。これは特に、現在保護されていないエンドポイントに当てはまります。そのため、Microsoftは、脆弱性管理、攻撃対象領域の縮小、脅威の防止、検出、修復、そしてオンデマンドのMicrosoft Defender Expertsサービスを含む、あらゆるプラットフォーム向けの包括的なセキュリティスイートの提供を計画していると、Ganacharya氏はTechRepublicに語りました。
「私たちが構築する脅威調査、脅威インテリジェンス、そして検知・修復コンテンツは、あらゆるプラットフォームに拡張可能です」と彼は述べた。「攻撃の進行段階に応じて、それぞれの段階でこれらを適用することで、お客様がどのデバイスを使用していても攻撃を阻止することができます。」
エンドポイントに関しては、Microsoftは現在、Linux、Mac、Android、iOSに注力しており、マルウェア対策とエンドポイント検出・対応に注力しています。最近では、Defender for EndpointにMacとLinux向けの新機能が追加され、攻撃対象領域の縮小、Web保護、ネットワーク保護に重点が置かれています。
これらの優先順位は、Microsoft が各プラットフォームで認識している脅威、および利用可能な OS 機能を使用して電話、サーバー、ラップトップ デバイスで実行できることに対応しています。
「各プラットフォームは、その活用方法に応じて独自の興味深い脅威の状況をもたらし、各プラットフォームには、マルウェア対策やEDRのようなソリューションがそれらのプラットフォーム上で実行できる機能に関して独自の限界があります」とガナチャリヤ氏は述べた。
こうしたことの一部は、技術よりもむしろ政策に帰結するだろうと彼は指摘する。
「携帯電話などの一部のデバイスは、さらなる課題をもたらします。人々が個人の携帯電話を使ってメールや Teams にログインしている場合、どの程度まで追跡すればよいのでしょうか?」
Microsoft Defenderで保護と検出
Web 保護は、ブラウザ内で行われる処理のみを対象としています。Web サイトの評判スコアの提供、フィッシング、マルウェア、エクスプロイト、または懸念される特定の問題で知られるサイトのブロック、企業の資格情報が公開され変更が必要になった場合に備えてユーザーが入力した場所の追跡などを行います。
「企業としてコンテンツフィルタリングを行うことも可能になり、『このカテゴリのウェブサイトはネットワークデバイスで許可され、この種類のカテゴリはネットワークでは許可されません』と言うこともできます」とガナチャリヤ氏は述べた。
Windows 上の Microsoft Edge では、これらはすべてブラウザーの SmartScreen によって実行されますが、アラートとメトリックは Defender for Endpoint ポータルに表示されます (図 A )。
図A
Web 保護がまだ組み込まれていない macOS 上の Edge など、他のブラウザーを使用している場合、Web 保護機能はネットワーク保護機能に依存します (図 B )。
図B
「ブラウザ上で行うすべてのことはネットワーク上でも確認できますが、それ以上に、ネットワーク上ではさらに多くのことが確認できます」とガナチャリヤ氏は述べた。「私たちの検知機能をネットワークに適用できれば、それらのプラットフォーム上でも同じ脅威を阻止できます。」
ネットワーク保護は、ブラウザとその他のアプリの両方が悪意のあるサイトに接続するのを阻止するだけでなく、攻撃対象領域を縮小して一般的な攻撃をブロックし、防御側が攻撃の発生を示唆する可能性のあるネットワーク動作を調査できるようにします。
攻撃対象領域保護は、中間者攻撃をブロックし、ネットワーク上の侵害を受けたデバイスがコマンド アンド コントロール サーバーに接続するのを阻止します。これにより、攻撃者がデータを盗み出したり、デバイスを使用して分散型サービス拒否攻撃を行ったり、マルウェアをダウンロードして拡散したりすることを阻止します。
また、ユーザーが正しい Wi-Fi ネットワークに接続していることも確認します。
「不正Wi-Fiは、多くのお客様が直面している非常に大きな問題です」とガナチャリヤ氏は述べた。「従業員は、安全でないネットワーク、あるいは独自に構築されたネットワークに接続してしまい、自分のマシンで何をしているのか盗聴されてしまうのです。」
ネットワークベースのエクスプロイトも依然として脅威です。
「悪意を持って作成されたパケットをネットワークに送信すると、エンドポイントに侵入するために利用される可能性があります」とガナチャリヤ氏は述べた。「ウイルス対策ソフトやウェブ保護機能ではこれを阻止できないかもしれませんが、エクスプロイト後の活動を検知することはできるかもしれません。」
同氏は、ネットワーク保護は攻撃のさまざまな段階をカバーする保護と検出機能によって多層防御を実現すると指摘し、「1 つの段階を見逃しても、次のステップでそれを捕捉します」と述べました。
ネットワーク内だけでなくエンドポイントを直接監視することで、より多くの攻撃を検出できます。
「エンドポイント上のどのプロセスがどのようなトラフィックを生成し、どの IP に接続しようとしたかを相関させることができます」と彼は語った。
しかし、ネットワーク上にあることすら知らなかったためにまだ保護されていないエンドポイントがある場合は、ネットワーク保護機能を使用してそれらのエンドポイントを見つけることができます。
「そのためには、単一のエンドポイントだけでなく、そのデバイスにどのようなトラフィックが生成されているかを確認するだけでなく、ネットワーク上で他のデバイスがどのような検知を行っているかを確認する必要があります」とガナチャリヤ氏は述べた。「この検知機能をルーターなどのデバイスにも適用することで、誤検知を減らすことができます。」
Windows デバイスのすべてのエンドポイント保護機能が macOS と Linux にはまだ導入されておらず、どちらもまだプレビュー段階です。サイトがブロックされたり警告が表示されたりした場合にユーザーが受け取るメッセージをカスタマイズすることはできませんが、将来的には可能になる可能性があります。
Linuxでは、ネットワーク保護はVPNトンネルとして実装されており、Defenderにはデータ損失防止機能は含まれていません。macOSにもLinuxにも、追加のデバイス管理ソフトウェアを必要とせずにDefender自体のセキュリティ設定を管理できるセキュリティ管理オプションはありません。
Linux版Defenderは、RHEL 7.2以降、CentOS Linux 7.2以降、Ubuntu 16 LTS(またはそれ以降のLTS)、SLES 12以降、Debian 9以降、Oracle Linux 7.2の6つのディストリビューションをサポートしています。Macの場合は、macOS 11以降が必要です。
保護が必要な脆弱なデバイス
ネットワーク上には追跡と保護が必要な他のデバイスが存在する可能性があります。
「ルーター、プリンター、会議室の機器、スマートテレビ、スマート冷蔵庫など、あらゆる種類のデバイスがインターネットに接続しており、攻撃対象領域が拡大しています」とガナチャリヤ氏は述べた。
ランサムウェアは、自動化されたスクリプトではなく、個々の攻撃者によって直接展開されます。そして、最も容易な侵入経路を探しており、その侵入経路は、脅威ではないと思われるデバイスである可能性があります。そのため、IoTデバイスおよび運用技術デバイス向けのDefenderには、エージェントを必要とせずにネットワーク監視を行うバージョンがあります。
「顧客はこれを真に受け入れ、自社のネットワーク上にあるあらゆるデバイスが攻撃の入り口になり得ると認識する必要がある」とガナチャリヤ氏は警告した。
