- 2024/10/31
- ランサムウェア
今ランサムウェア対策に求められているのは「攻撃の全体像」の速やかな把握
Post by : Hiroki Yano
攻撃の全体像を把握していかに早く脅威を検知できるか
近年のランサムウェアはますます攻撃スピードを増しており、守る側も侵入を受けた際の対処スピードをより高めて、後手に回らないための体制・仕組み作りが求められています。
また今日のランサムウェア攻撃は単にファイルを暗号化して身代金を要求するだけに留まらず、ファイルを窃取してその公開をちらつかせて金銭を脅し取る「二重脅迫」の手口が主流になっています。警察庁の調査によると、現在のランサムウェアの実に74%が、ファイルの暗号化を実施する前に既に情報を窃取しているそうです。つまりファイルの暗号化を検知・阻止できても、その時点で既にファイルは窃取されており、実質的には手遅れになっている可能性が高いのです。
最近ではファイルの窃取だけに留まらず、DDoS攻撃等で脅迫を行う「三重脅迫」や「四重脅迫」の事例も報告されており、もはやファイルの暗号化を防ぐだけの対処では被害を防ぎきれなくなっているのが実情です。そのはるか手前の段階、脅威の侵入から足場の確立、認証情報の窃取、横展開といった攻撃全体のストーリーをいち早く把握して、できる限り早いタイミングで脅威を検知・除去することが重要です。
まずはNGAV/EDRでエンドポイントの守りを固める
企業の情報システムの中で攻撃者から狙われやすいポイントも多岐に渡っており、VPN機器などのネットワーク製品の脆弱性が狙われるケースもあれば、リモートデスクトップ経由の侵入や窃取したアカウント情報を使った不正ログインといった手口も多用されます。
しかし侵入経路がどうであれ、最終的に攻撃者が狙うのはサーバやPCなどのエンドポイント上に保管された機密データや個人情報、認証情報などです。従ってランサムウェア対策においては、エンドポイントセキュリティに真っ先に着手すべきでしょう。
弊社では、エンドポイント対策において威力を発揮する種類の製品を提供しています。1つは、ランサムウェアの侵入を防御するためのNGAV(Next Generation Anti Virus:次世代アンチウイルス)製品「Cybereason NGAV」です。旧来のアンチウイルス製品が提供してきたシグネチャベースのマルウェア検知機能に加えて、多様な検知・防御技術を組み合わせた強力な多層防御機能を備えています。
特にランサムウェアに関しては、シグネチャだけでなく挙動を基にランサムウェアを検知・防御する「予測型ランサムウェア対策機能」や、万が一ファイルが暗号化されても自動的に復元する機能など、ランサムウェアに特化した機能を実装しています。
一方、近年のランサムウェアは手口が極めて高度化・巧妙化しているため、未然防止をおこなうNGAVとあわせて、EDR(Endpoint Detection and Response)製品「Cybereason EDR」をご提供しています。EDRではもし仮に脅威が内部に侵入したとしてもいち早く検知して、攻撃が進行する前に対処することが可能です。その検知性能はMITRE ATT&CKなど第三者機関による検証でも極めて高く評価されており、国内のEDR製品市場では長年トップシェアを維持しています。
さらには、このCybereason EDRを使った監視や脅威分析などの作業をユーザーに代わって行う「Cybereason MDR」というマネージドサービスも高い評価を得ており、日本国内におけるCybereason EDRユーザーの大半がこれを導入しています。
XDR/SDRで攻撃の全体像を可視化して速やかに対処する
弊社のNGAVおよびEDR製品を利用することで、ランサムウェア攻撃をエンドポイント上で効果的に検知し、被害を未然に防ぐことができます。しかしその攻撃がどこから侵入し、どのような経路を辿ってエンドポイントまで辿り着いたのかを特定するためには、エンドポイント以外のさまざまな監視ポイントからログを収集し、それらを互いに突き合わせながら分析する必要があります。
こうして攻撃の全体像を把握することではじめて問題の根本原因が特定でき、再び同じ攻撃を受けてもしっかり防御できるようになります。裏を返せば、たとえエンドポイント上で攻撃を防げても、根本原因や影響範囲の調査に手間取ってしまうと、その間に被害が拡大してしまったり、同じ攻撃を再び受けて同じように侵入を許してしまったりするかもしれません。
そこで弊社では、ツールによる監視範囲をエンドポイントだけでなくシステム全体にまで拡大し、攻撃の全体像を速やかに可視化できるXDR(Extended Detection and Response)製品「Cybereason XDR」を提供しています。これを使うことで他社製のネットワーク製品やクラウドサービス、ID管理製品などからログを広く収集し、それらを相関分析することで攻撃の全体像を素早く可視化できるようになります。
さらには統合されたセキュリティデータレイクと収集データのリアルタイム分析のご提供により、さらなるデータ処理コストの削減やインシデント対応の迅速化が実現できる「Cybereason SDR(SIEM Detection and Response)」と呼ばれるソリューションも現在開発中で、近く提供予定となっています。
ますます多面化・高速化が進む今日のランサムウェア攻撃に対抗していくためには、ここで紹介したXDRやSDRのように、攻撃の全体像を速やかに可視化できるソリューションの導入をぜひ検討したいところです。
【開催レポート】ランサムウェア対策セミナー「高まるランサムウェアの脅威の実情と企業・組織に求められる具体的な対策」
ランサムウェア攻撃の背景から最新の脅威、実際に被害に遭った企業の経験、具体的な対策を共有し、日本の企業・組織が取り組んでおくべきランサム対策のポイントを考察します。
今後のランサムウェア攻撃対策の強化にお役立てください。
https://www.cybereason.co.jp/product-documents/white-paper/11901/
