NGAV(次世代アンチウイルス)ソリューションが、時代遅れのシグネチャベースのアンチウイルス（AV）ツールに急速に取って代わりつつあります。実は、これにはランサムウェアの動向が大きく関係しています。従来型のAVツールは、ランサムウェア攻撃がビジネスに与える真のコストを考慮するならば、我々が現在直面している課題を解決するには不十分なのです。本記事では、このような変化が不可避的であった理由を説明します。

より効率的で効果的なソリューションの必要性を理解する前に、直面している問題がいかに進化しているかを理解する必要があります。ランサムウェアオペレーション（RansomOps）は複雑さを増しており、かつてないほどに防御が困難になっているからです。

数字で見るランサムウェア

ランサムウェア攻撃件数は2021年に57%増加しており、身代金を支払った企業のうち、すべてのデータを回復できたのはわずか8%でした。今年2月の時点で、CISAは16社の重要な国家インフラ部門のうち14社に対してランサムウェア攻撃が行われたことを報告しており、最近のIDCの調査によれば、昨年、全企業の37%がランサムウェア攻撃の被害者となったことが判明しています。

Gartnerの調査によれば、監査部門が2022年に重点的に取り組むべきであると予想している重要なリスク分野のトップにランサムウェアが挙げられているとのことです。これらの攻撃のロングテール型の進歩により、ランサムウェアはかつてないほどの勢力を持つようになりました。今や、従来型のセキュリティアプローチでは、RansomOps攻撃の増加に対応できないのです。

この問題は多面的であり、攻撃はより巧妙化し、より大規模化しているため、セキュリティ専門家と組織にとって最悪の状況をもたらしています。現在、ランサムウェアのビジネスモデルはより洗練されており、ランサムウェア経済における複数のプレイヤーが攻撃のさまざまな側面に特化することで、利益を共有していることが確認されています。

従来型のアンチウイルスツールが抱えている問題点

従来型のアンチウイルスソリューションは、シグネチャベースのモデルで動作するものです。そこには、まず「生贄の子羊」（すなわち新しいマルウェアの最初の犠牲者）が存在します。マルウェアが特定されると、マルウェアのリバースエンジニアは、その悪意あるコードを分析することで、当該マルウェア種別を検知するためのシグネチャを生成します。

その後、新たに発見されたマルウェア種別に対処するための新しいシグネチャがエンドポイントにプッシュされます。それ以降のスキャンでは、特定のマルウェア種別がデバイス上に存在する場合、ユーザーに警告を発し、（うまく行けば）その脅威を修正できるようになります。また、当該マルウェアやその他の「既知の」マルウェアのバリアントからの感染を防ぐことも可能となります。

このモデルには、明らかにいくつかの問題があります。まず、このモデルは手動プロセスに依存しており、１人または複数の人間がすべての力仕事を行う必要があります。これには時間がかかるため、攻撃者にとって有利に作用します。また、手作業に依存するということは、（すべてのユーザーがマルウェアのリバースエンジニアにならない限り）規模を拡大できないことを意味します。コードの一部を変更するか、またはマルウェアをリパックするだけで、当該マルウェアは検知が不可能となるため、防御側は新しいシグネチャを開発しなければならなくなります。これは、究極の「モグラ叩き」ゲームであると言えます。

さらに、このモデルでは、未知の新たな脅威に効果的に対処できないため、対策が利用可能となる前に必ず被害者が出てしまうことになります。コンシューマー向けにはシグネチャベースの保護で十分かもしれませんが、攻撃件数の増加により、標的型攻撃の対象となる組織にとって従来型のアンチウイルスツールが役に立たないことは明らかです。この問題は、悪意あるコードがランサムウェアのペイロードを配信するような場合に、さらに深刻になります。

2021年がランサムウェアにとって画期的な年となったのはなぜだと思いますか？その理由としては、かつてないほどに多くの攻撃が発生したこと、その中には非常に多くの未知の攻撃が含まれていたこと、そして従来型のアンチウイルスソリューションがそれらを捕捉する能力を持っていなかったことが挙げられます。Gartnerが昨年末に、企業や組織が直面する新たなリスクのトップにとして新しいランサムウェアモデルの脅威が挙げられていると報告したのも不思議ではありません。

さらに、ハッキング済みの組織へのバックドアを販売するIAB（Initial Access Broker）が増加していること、RaaS（Ransomware as a Service）オペレーションを利用すると低い技術力しかもたない人でもランサムウェア攻撃キャンペーンを立ち上げて実行できるようになったこと、そしてランサムウェア経済のプレイヤーたちが身代金要求額を数千万ドルに引き上げていることを踏まえるならば、企業や組織がより高度なソリューションを必要としていることは明らかです。

機械学習機能を備えたNGAV

NGAVは、マルウェア（中でも特にランサムウェア）対策において、次なる自然な進化の段階を提示しており、今日の最も巧妙な攻撃に対するエンドポイント保護を実現することを目的としています。NGAVが従来型のアンチウイルスツールと異なる点としては、それがより全体的なシステム指向の観点を通じて問題にアプローチする技術的な戦略であることが挙げられます。NGAVは、インテリジェントな機械学習アルゴリズムを使用することで、攻撃者がモダンなシステムをハッキングするために利用しているツールや手法を特定した上で、それらを隔離してブロックします。

NGAVは、従来型のAVツールのようにファイルが持つ特徴や振る舞いに基づいてマルウェアを検知することに重点を置くのではなく、システム内におけるすべてのプロセスを観察します。これには、ネットワークアクティビティ、インターフェイス、設定、アクセスパターンなどが含まれます。そうすることで、NGAVシステムは、予想されるシステムやユーザーの振る舞いの基準を確立し、そのような基準を利用することで、長期的な攻撃の兆候を示す可能性のある異常を特定できるようになります。

従来型のマルウェア対策ツールと比較して、NGAVは、ユーザーと組織に次のような重要なメリットをもたらします。

• NGAVを使うと、未知の脅威シグネチャや振る舞いを持つ高度な攻撃を防御できます。マルウェアを検知するのではなく、システムの振る舞いに基づいて攻撃を検知することで、より確実な防御を実現できます。
• 機械学習機能を備えたNGAVを使うと、攻撃の根本原因を解明できるほか、悪用された脆弱性に関するシステム中心のビューを表示できます。
• NGAVを使うと、ランサムウェアのペイロードが配信される以前の、ランサムウェア攻撃の初期段階を防御できます。また、攻撃の初期段階が検知されなかった場合でも、ペイロードが標的マシン上で実行されないことを保証することで、さらなる保護を提供できます。
• NGAVはEDRソリューションやXDRソリューションを補完するものであり、従来型のAVソリューションやEDRソリューション単体よりも、はるかに優れた保護機能を提供します。

従来型のAVアプローチは、攻撃者がその回避方法を学ぶにつれて脆弱になる傾向があります。一方、NGAVで保護されたシステムは、機械学習アルゴリズムを通じてユーザーとシステムの振る舞いに関してより多くのことを学習することで、時間の経過と共に、セキュリティが自然に向上することになります。

NGAVは、ランサムウェア攻撃や複雑なRansomOps攻撃のような高度な脅威がネットワークに感染するのを根本的に防ぐことを目的としています。NGAVシステムを使うと、企業や組織は、防御の最前線として、よく知られた攻撃とゼロデイ攻撃の両方を、ゆっくり時間をかけて予測した上で回避できるようになります。また、複数の防御層を提供するようなNGAVソリューションが最適であることは明らかです。

サイバーリーズンの製品・サービスの特長とは

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR（Managed Detection and Response）」と呼ばれる監視代行のマネージドサービスも提供しています。

RansomOps〜複雑なランサムウェアオペレーションの内側とランサムウェア経済〜

昨今脅威を増しているランサムウェア攻撃により大きなインシデントに見舞われる事例があとを断ちません。ランサムウェアオペレーションは、ここ数年で非常に複雑なビジネスモデルへと劇的に変化しています。

今回の資料では、ランサムウェアの攻撃者がどのようにランサムウェアオペレーション(RansomOps)の役割を実行するのか、またサイバーリーズンがどのようにソリューションを用いてランサムウェアなどの進化する攻撃に対処するのかについてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8110/