ビジネスのデジタル化の加速でより重要性が増すエンドポイントセキュリティ対策

「デジタルトランスフォーメーション(DX)」の掛け声の下、現在多くの企業が先進デジタル技術をビジネスに積極的に取り入れようとしています。またコロナ禍に伴うテレワークの導入に伴い、企業で働く従業員のワークスタイルにもデジタル技術がより深く関わるようになりました。

デジタル技術は確かにとても便利なものですが、その半面使い方を誤ると、深刻なセキュリティリスクを招き入れかねません。特にテレワークやモバイルワークを前提としたワークスタイルにおいては、PCをはじめとするエンドポイント端末をセキュアに保つことが何より大切になります。

弊社はそのために、エンドポイント端末の感染を未然に防ぐNGAV(次世代アンチウイルス)、「Cybereason NGAV」や侵入後対策としてのEDR(Endpoint Detection and Response)、「Cybereason EDR」の製品を提供しているほか、これらの製品を使った脅威監視、対応を代行するMDR製品である「Cybereason MDRサービス」もあわせて提供しています。これらをすべて統合した弊社のワンストップソリューションは、最先端のエンドポイントセキュリティ対策として現在世界中の数多くの企業で利用されています。

弊社の次世代アンチウイルス製品「Cybereason NGAV」は、旧来のアンチウイルス製品が備えるシグネチャベースの検知技術で既知の脅威を検知・除去できるだけでなく、機械学習を用いた静的バイナリ解析や振る舞い解析などによって、これまでのアンチウイルス製品では検知できなかった未知の脅威も効果的に排除できます。こうして大半の脅威をNGAVで自動的に除去した後、残されたわずかな数の未知の脅威のみを「Cybereason EDR」で集中的に監視・対処することで、限られた人的リソースをより有効活用できるようになります。

Officeマクロを悪用したEmotetの攻撃手口とは?

弊社ではこのNGAVとEDRを「Cybereason Protection Platform」というプラットフォーム製品に統合した形で提供していますが、近日中にその最新バージョンである「バージョン20.1」がリリースされ、大幅な機能アップを果たします。特にNGAVの機能進化は目覚ましく、これまでEDRに対処を任せていた未知の攻撃や高度な攻撃の一部をNGAVでも自動的に検知・除去できるようになります。

こうした機能強化の1つが、「振る舞いベースのドキュメント保護」です。これは近年被害が多発している「Emotet」などに見られる「WordやExcelのマクロを悪用した攻撃」に対処するものです。

Emotetは、フィッシングメールに添付されたWordやExcelのファイルを経由して感染します。ユーザーがこれらのファイルを開き、促されるままにマクロ機能を有効化すると、悪意のあるマクロのコードが実行されてEmotetが自動的にダウンロードされます。その後Emotetはほかのマルウェアをダウンロード・配布し、情報を窃取したり他端末への感染拡大を図るとともに、長期間に渡って社内ネットワークに潜伏して偵察活動を行います。

この偵察活動の過程で得られた情報は適宜C&Cサーバに送られ、その内容を基にさらに別の攻撃が仕掛けられたり、盗んだ情報を足掛かりに別の標的企業へ巧妙な不正メールを送り付けるサプライチェーン攻撃が仕掛けられることもあります。さらに近年では、新型コロナウイルスを題材にした極めて巧妙なフィッシングメールが使われることもあり、その手口はますます高度化・巧妙化しています。

Cybereason NGAVの最新バージョンでEmotetの脅威を自動的に検知・除去

Cybereason Protection Platformではもともと旧バージョンから、Emotetによる攻撃は「Cybereason EDR」できちんと検知・対応できるようになっていました。これに加え、今回のバージョン20.1で専用の「振る舞いベースのドキュメント保護」機能が新たに加わったことによって、Emotetのようなマクロを悪用した攻撃であっても「Cybereason NGAV」でしっかり自動的に検知、防御できるようになりました。

具体的には、メールに添付されたWordやExcelのドキュメントにマクロなどのスクリプトが含まれていた場合、その内容を「Cybereason NGAV」が自動的に解析し、もしその中に悪意のあるコマンドやコードが含まれていたらその場で実行を防止したり隔離できるようになりました。

こうしてマクロを悪用した未知の攻撃に対する防御壁を新たに1枚加えることによって、EDRも含めたエンドポイントセキュリティ保護の体制全体がさらに強化されました。また従来は、EDRでEmotetによる攻撃を検知した際には人手を掛けて調査・対応する必要がありましたが、その前段のNGAVで自動的に脅威を検知・除去できるようになるため、限られた人的リソースをより有効活用できるようになります。

今後もEmotetを使った標的型攻撃やサプライチェーン攻撃は増えこそすれ、減ることは当面ないと予想されています。そのため、ぜひ今回紹介したような製品を早めに導入し、備えを万全にしておくことをお勧めします。

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」を公開中

EDRとNGAVの組み合わせの優位性をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1826

ホワイトペーパー「次世代アンチウイルス(NGAV)とEDRが高度な脅威に対処」