ランサムウェアの動向
ランサムウェアとは個人、組織に対して侵入してくるマルウェアの一種です。被害者にとって重要なファイルを暗号化してしまい、攻撃者が身代金を要求するといったものです。
ランサムウェアはこれまで「Wanna Cry」のようなばらまき型攻撃をメインとしていました
近年はこの類のランサムウェアは少なくなってきており、特定の組織を攻撃対象とする、標的型ランサムウェアが主流となってきています。昨今では特定の業種や組織に対しての被害が頻発しており、ランサムウェアは個人への攻撃から組織への攻撃に完全に移行してしまっています。このようなことから組織において、「未知」のランサムウェアが侵入してくる確率は飛躍的に向上しているといえます。
このように「未知」のランサムウェア、マルウェアに対応する仕組みが必要になり、既知のものしか防げないアンチウィルスソフトを見直す必要が出てきました。
NGAVとは
アンチウィルスソフトにとって代わる製品としてNGAV(次世代型アンチウィルスソフト)が注目されています。NGAVではパターンマッチング検知方法とヒューリスティック検知方法の二種類の方法でマルウェアの検知を行っています。
アンチウィルスソフトの検知方法としてはパターンマッチングが一般的です。一方、ヒューリスティック検知とはマルウェアに特有のパターンを照合するのではなく、マルウェアの特徴的な動作をAI学習によって調べる方法であり、未知のマルウェアにも対応できる検知方法です。
これは画期的な検知方法でパターンファイルを必要としません。しかしヒューリスティック検知も100%の精度ではなく、誤検知もあるのでNGAVではパターンマッチングとヒューリスティック検知を併用してマルウェアを検出しています。
ヒューリスティック検知とは
ヒューリスティック検知は主に「静的ヒューリスティック検知」と「動的ヒューリスティック検知」の2つの段階でマルウェアを対策しています。
静的ヒューリスティック検知は、実際にプログラムを動作させることはありません。プログラムに記述されている「動作」を読み取りマルウェアかどうか判断する方法です。
他方、動的ヒューリスティック検知は、仮想環境で実際にプログラムを動作させて、「動作」を見ることでマルウェアかどうか判断します。
さて、このように二段階の仕組みで多くのマルウェアを検知できるNGAVですが、標的型ランサムウェアに対して万全であると考えることはできません。
NGAVとEDRを組み合わせることで対策をしていくことでセキュリティを強化していく方法が有効です。EDR は「脅威が侵入した後」の被害を最小限に食い止めることを主な目的としたシステムです(NGAVは侵入前に防御を行うEPPに分類されます)。
Gartner社ではEDRを、「エンドポイントの振る舞いを記録および保存し、データ分析技術を使用して疑わしいシステムの振る舞いを検知し、コンテキスト情報を提供し、悪意のあるアクティビティをブロックして、影響を受けたシステムを復元するための修復のための提案を提供する」ソリューションとして定義しています。
EDRはこのようにエンドポイントのふるまいを記録し、レポートとして可視化する機能があります。エンドポイントにあるパソコンやサーバーなどの端末に専用のソフトウェアやエージェント、センサーを導入し、マルウェアやランサムウェアなどの脅威による不審な動きがないかログを取得しながら監視します。
監視中の端末に脅威による異常、挙動不審な動作を検出すると、それをすぐに管理者に通知します。
通知を受けた管理者は脅威の精査と分析を行い、適切な対応が取れるしくみです。
各社のEDRに関してはそれぞれ特長があるかと思いますが、以上のようなものがベースになっています。
参照:Best Endpoint Detection and Response (EDR) Solutions Reviews 2023 | Gartner Peer Insights
Heimdal暗号化防御とは
Heimdal暗号化防御は「脅威が侵入した後の被害を最小限にとどめる」という点でEDRの概念に則しています。そして本製品はランサムウェアの対策に特化した製品です。
NGAVとは異なり、ランサムウェアがその他すべてのセキュリティを突破したときにその効果を発揮します。静的あるいは動的なヒューリスティック検知を逃れたランサムウェアは実際にエンドポイントでの活動を始めます。このランサムウェアがファイルの暗号化を始めた際に、その挙動をAI学習によって行動分析を行い、検知します。さらに脅威インテリジェンスによって暗号化プロセスが攻撃者の意図によってかユーザーの意志なのかを判別し誤検知を減少させます。
なので、NGAVから逃れたランサムウェアを検知し、対象のプログラムを自動停止させる「最後の砦」として有効な機能です。この機能は管理者の手を一切介さずに自動で停止までを行うので、管理者負担のコストを削減することが可能です。また、脅威インテリジェンスにより誤検知が少ないことも特徴的です。
さらに現状のセキュリティ環境の変更を行わず、そのままこの製品を追加することで簡単にセキュリティを強化できます。また、そのことが前提で作られた製品でもあるため、他セキュリティ対策製品と全く干渉しません。
このように、昨今では複数のセキュリティを導入し、段階的に各種脅威に対して対抗していくのが一般的になっています。
製品詳細・お問い合わせ
Heimdal暗号化防御にご興味のある方は製品ページ をご覧ください。