セキュリティ市場動向レポート
～Deep Instinctサイバー脅威情勢レポート～

ディープラーニングによるAIアンチウィルス Deep Instinct（ディープインスティンクト）社より、2020年を総括した脅威レポートが公開されました。このレポートでは、彼らのファイルレピュテーションサービスであるD-Cloudに蓄積されている数億件のイベントに基づいています。

D-Cloudには、市場の脅威情報に加え、ディープインスティンクトが独自で取得している情報など幅広く含まれています。ディープインスティンクトには、イスラエル国防軍のサイバー情報部隊出身者が、研究者として数多く在籍しており、これらの脅威情報をもとにセキュリティの今後をまとめている興味深いレポートです。

2020 年の脅威情勢レポートトピックス

Deep Instinct社が発表した2020年サイバー脅威情勢レポートのトピックスは以下の通りです。

01.コロナ渦：これを悪用したランサムウェア、マルウェアキャンペーンの増加
02.Emotet流行：2020年の大きなトピックはこれと言っても過言ではありません。ディープインスティンクト社が観測したEmotet攻撃に関する傾向、知見がレポートされています。こちらはOperation Ladybirdにより無害化されましたが、執筆時点では日本国内に数百台の感染端末が存在するようです。
03.ランサムウェア攻撃者の二重の脅迫について
04.政府と民間企業の強固な協力関係、それによるTrickBotの防御
05.敵対型機械学習に対する防御手段の進歩

コロナ渦：これを悪用したランサムウェア、マルウェアキャンペーンの増加
Emotet流行：2020年の大きなトピックはこれと言っても過言ではありません。ディープインスティンクト社が観測したEmotet攻撃に関する傾向、知見がレポートされています。こちらはOperation Ladybirdにより無害化されましたが、執筆時点では日本国内に数百台の感染端末が存在するようです。
ランサムウェア攻撃者の二重の脅迫について
政府と民間企業の強固な協力関係、それによるTrickBotの防御
敵対型機械学習に対する防御手段の進歩

このレポートで私が特に興味を持ったのは、ドキュメントを使った攻撃の傾向を、明らかにしてくれているところです。ディープインスティンクトは従来のアンチウィルスと違い、マルウェアやランサムウェアなど実行ファイルだけでなく、それをもたらすドロッパーと呼ばれるもののうち、ドキュメントファイルについても検知対象にしています。そのため、使われたマルウェアファイル自体の傾向に加えて、それをもたらしたドキュメントファイルはどのようなものがあったか、が分析されています。

その傾向は、2018年から2019年にかけて、PDFやオフィス系ファイルの脅威が増え、その後はほぼ横ばいであり、リッチテキストファイル（RTF）については2020年にかけて減少傾向であるようです。

引用：Deep Instinct社 2020年サイバー脅威情勢レポート

AIは多くの領域で利用されていますが、攻撃者がAIを活用してセキュリティ製品をあざむいていく、敵対型機械学習による攻撃についても触れています。これに関して、敵対型機械学習による攻撃がどのように起こるかを、脅威マトリックスとして表す動きが紹介されています。サイバー攻撃をフレームワークに落とし込んで攻撃手法を共通言語化するMITRE ATT&CKと同様のフレームワークです。ディープラーニングを活用したエンドポイント保護ベンダーならではのリーダーシップを読み取ることができます。

脅威マトリクスはこちらから：https://github.com/mitre/advmlthreatmatrix

そのほかにも、調査会社Ponemonと実施したアンケート結果から見えてきた、異なる攻撃によるコスト予想額や、被害を早い段階で防ぐことによる投資対効果の重要性についても触れています。
最後に、今年のディープインスティンクト社の予測として、アクセス権を提供する攻撃AaaSが、ボットネットまん延とともに広がっていくだろうとしています。これは5月に欧州で発生した、生体分子研究所へのRyukランサムウェアの侵入の例を思い出させますが、危殆化したネットワークへのアクセス情報が、ダークウェブなどで手に入りやすくなるという今後を示唆しているのかもしれません。

Deep Instinct社による2020年サイバー脅威情勢レポートの全容はこちら