セキュリティエンドポイント脅威レポート 2019 で脅威の動向と対策を知る

Japan Security Team / June 17, 2020 / 20 min read

2020年6月16日，微软发布了《2019年安全终端威胁报告》（Security Endpoint Threat Report），公布了2019年亚太地区安全威胁状况的调查结果。该报告旨在通过分析微软的数据源，帮助组织更深入地理解不断演变的威胁形势，减轻日益复杂的攻击影响，并改善组织的网络安全态势。

微软此前一直以《安全情报报告》（SIR）的形式发布全球漏洞趋势、漏洞利用（exploit）趋势、恶意软件趋势以及各国/地区威胁趋势的分析调查结果。安全终端威胁报告是取代安全情报报告的微软新安全威胁报告，主要从微软收集的威胁信号中分析终端遭遇的恶意软件等威胁。

本文面向IT管理员，介绍该报告的概要以及微软提倡的应对措施。

恶意软件趋势

2019年全球恶意软件遭遇率（*1）平均为3.24%，较2018年（5.07%）和2017年（6.29%）呈下降趋势。

亚太地区整体恶意软件遭遇率虽在下降，但印度尼西亚、斯里兰卡、印度、越南等发展中国家（*2）遭遇率较高，而日本、新西兰、澳大利亚等市场国家的遭遇率较低。

日本的遭遇率与世界平均遭遇率相比低4倍，是亚洲最低的国家之一，也是全球遭遇率较低的国家之一。这一趋势与以往《安全情报报告》中公布的2018年及之前的情况相同，日本与全球相比，恶意软件遭遇率一直较低。

恶意软件遭遇率通常与盗版比率、定期应用软件安全更新程序的比率成正比，因此务必切实执行避免使用盗版和非官方市场、使用最新版本产品、使用防恶意软件软件等基本事项。

勒索软件趋势

2019年全球勒索软件遭遇率平均为0.03%，自2017年WannaCry流行以来，全球勒索软件遭遇率呈下降趋势。但这并不意味着勒索软件威胁已消失。勒索软件已从利用CVE-2017-0145（MS17-010）的WannaCrypt/WannaCry和NotPetya等自动传播类型，转变为“Human-Operated Ransomware（人为操作勒索软件）”，即更针对目标组织进行攻击的类型。在这种类型中，攻击者会调查目标组织的网络配置，以最大化金钱利益，逐步侵入组织内部系统后使用勒索软件，2020年4月以来，尤其在医疗和相关重要系统中确认了受害情况。因此，当前不仅需要从遭遇率的角度，还需要从多层角度考虑，如适当管理远程桌面（RDP）和VDI终端、启用多因素认证、防止组织入侵、防止内部入侵扩散、早期检测和处理问题等。详情请参考以下相关博客。

• Human-operated ransomware attacks: A preventable disaster
• Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk
• The science behind Microsoft Threat Protection: Attack modeling for finding and stopping evasive ransomware

图1: 勒索软件遭遇率趋势（日本）

加密货币挖矿趋势

2019年，全球加密货币挖矿遭遇率下降，日本遭遇率也有所下降。近期加密货币价值波动，生成加密货币所需时间更长，犯罪者可能已转向其他形式的网络犯罪。

偷渡式下载（Drive-by Download）趋势

偷渡式下载是指在浏览网站时，无意中将恶意代码下载到用户计算机的行为。恶意代码利用浏览器或插件等漏洞，用于感染其他恶意软件或窃取金融信息。

分析Bing搜索引擎索引页面中检测到偷渡式下载的页面数量平均值，2019年全球平均检测数量较前年减少。日本平均检测数量比全球平均低近2倍，但较2018年有所增加。不仅日本，新加坡和香港也呈现类似趋势。

COVID-19相关威胁趋势

2020年以来，COVID-19彻底改变了全球局势，病毒感染成为最大担忧。微软调查显示，全球所有国家至少发生了一次利用COVID-19的攻击，尤其在3月上旬确认了大量攻击。日本在2月初至5月2日期间确认了超过14,000起利用COVID-19的攻击。

图2: 以COVID-19为主题的攻击趋势

这些以COVID-19为主题的攻击约占整体攻击的2%，多数是将现有攻击与COVID-19关联。攻击者通过在现有恶意软件、勒索软件、网络钓鱼等攻击手法和基础设施中加入COVID-19关键词，利用人们的兴趣和恐惧心理提高攻击成功率。详情请参考Exploiting a crisis: How cybercriminals behaved during the outbreak。

图3: 以COVID-19为主题的攻击与整体数量

最佳实践

如本威胁报告所述，安全威胁逐年变化。但我们提倡构建和维护能够抵御任何攻击的IT环境，而非仅针对特定威胁趋势采取措施。详情请参考《攻撃があっても動じない IT 環境の新しいカタチ： Security Posture》。

同时，我们介绍了重要的基本应对措施，请再次确认。

企业/组织应对措施：

• 使用保护员工和基础设施的强大安全工具
• 通过多层防御进行保护
  • 快速应用安全更新程序
  • 利用安全配置框架等强化终端
• 使用多因素认证（MFA），适当保护组织内特权账户凭据，阻止旧式认证协议
• 使用Cloud App Security等应对影子IT和未授权应用使用
• 彻底执行员工安全指南
  • 区分网络钓鱼欺诈方法、区分与正式信息和企业政策相悖的可疑邮件等，整备发现时的内部报告途径
  • “在职场保护计算机安全”
• 文件共享及音视频通话、会议系统中的端到端加密：Microsoft Teams基于安全开发生命周期设计开发，支持端到端加密。（Microsoft Teams安全指南）

个人应对措施：

• 所有设备保持最新安全更新状态
  • 关于微软安全更新程序应用的常见问题，请参考“安全补丁基础知识”
  • 远程环境应用更新程序的注意事项，请参考“远程环境应用更新程序的注意事项”
• 切实执行防恶意软件服务等基本安全措施
  • Windows 10基本安全措施设置方法，请参考带图解的资料“Windows 10基本安全确认事项”
• 注意可疑链接和附件
  • 打开Office文件时利用保护视图
  • 使用Microsoft Edge等最新浏览器有助于阻止恶意网站，阻止计算机上恶意代码执行
• 使用多因素认证（MFA）
  • 生物认证功能Windows Hello和Microsoft Authenticator等智能手机认证应用可在多数服务中使用
• 有助于减少在家使用计算机时的在线风险的方法

参考信息

• 新闻稿: 攻撃があっても動じない IT 環境の新しいカタチ： Security Posture
• 微软安全情报网站刊登了调查结果详情。请访问https://www.microsoft.com/securityinsights。
• 若想了解当前流行恶意软件、恶意软件行为详情等，请参考Threat Encyclopedia。该网站解释了各地区威胁趋势、攻击手法详解、各恶意软件行为详情等。还可通过恶意软件名称搜索，确认特定威胁的检测名称等。
• 若有疑似病毒等恶意软件（malware）的文件，请通过可疑文件报告表单报告。选择“Home customer（家庭用户）”可匿名报告，或使用微软账户登录后报告。使用微软安全解决方案的企业用户，选择“Enterprise customer（企业用户）”可与所用解决方案联动。使用微软账户或企业账户登录报告后，调查完毕时会答复报告文件是否为恶意软件，若为恶意软件，则会答复Microsoft Defender等微软产品和服务的检测名称等调查结果。

垣内 由梨香 安全项目经理 安全响应团队 微软

（*1）遭遇率 遭遇率是基于运行微软实时安全软件的计算机检测到恶意软件并阻止安装时的报告比率。这与实际感染恶意软件的系统数量，即称为CCM（每千台清除计算机数）的测量值不同。 （*2）调查对象共计15个市场，发展中国家为中国、印度、印度尼西亚、马来西亚、菲律宾、斯里兰卡、泰国、越南，先进市场为台湾、新加坡、新西兰、韩国、日本、香港、澳大利亚。市场分类基于2018年10月国际货币基金组织世界经济数据库（International Monetary Fund’s World Economic Database, October 2018）。