「EDRがあるから大丈夫」という思い込み
EDR(Endpoint Detection and Response)は、今日のエンドポイントセキュリティの中心的存在となりました。
マルウェアの侵入経路を可視化し、攻撃の兆候を検知して即応する、、これまで多くの企業がEDRに期待を寄せ、その導入を進めてきました。
しかし今、EDRのカバー範囲外で発生する“最終フェーズ”の攻撃が問題視されています。
それが、「ファイルの暗号化」です。
なぜEDRでは防ぎきれないのか? ─攻撃者の視点から見る「すり抜け」の現実
EDRは、ファイルの挙動やプロセスのふるまいを監視し、異常があれば検知・通知する高度なセキュリティソリューションです。
しかし、攻撃者はEDRの存在を前提に作戦を練り、それを回避・無効化する技術を巧みに活用します。
ここでは、攻撃者が実際にどのような段階を踏んでEDRをすり抜け、最終的に暗号化まで到達するのか 特権昇格(Privilege Elevation)を含めた流れを、ストーリー形式で解説します。
フェーズ1:初期アクセス
攻撃者はまず、メールの添付ファイル、悪意あるリンク、脆弱なVPN装置、もしくは公開Webアプリの脆弱性などを悪用して、対象のネットワークに侵入します。
この時点では、端末上での権限は一般ユーザー権限であり、EDRも正常に動作しています。
フェーズ2:環境偵察とEDRの確認
侵入に成功した攻撃者は、すぐにネットワーク内の環境を調査します。
実行中のプロセス、サービス、インストール済みアプリケーション、Windowsバージョン、EDR製品名やバージョン…
こうした情報を静かに収集し、「どのように監視されているのか」を正確に把握します。
powershell
tasklist /FI "IMAGENAME eq csrss.exe"
reg query HKLM\SOFTWARE\ /f "CrowdStrike" /sここで、EDRの種類が分かれば、それに合わせた特権昇格+EDR回避の戦術に移行します。
フェーズ3:特権昇格(Privilege Elevation)
攻撃者が次に狙うのは、“管理者権限の奪取”です。
なぜなら、EDRを停止したり、監視プロセスに干渉するには、高い権限(Administrator / SYSTEM)が必要だからです。
ここで使われる代表的な手法は以下のようなものです:
- 未パッチのローカル権限昇格脆弱性(例:PrintNightmare)
- サービスの構成ミスや権限ミスの悪用(Misconfigured Services)
- DLLインジェクションやToken Impersonation
- 正規機能の悪用(UAC Bypass, Scheduled Taskの乗っ取り)
これらのいずれかが成功すれば、攻撃者はEDRを“制御する側”の権限を手に入れたことになります。
💡 補足:もし初期アクセスの段階で既に対象ユーザーがローカル管理者権限を持っていた場合、攻撃者はこのフェーズをスキップできます。
その結果、EDRの停止や無効化といった操作にすぐ移行でき、攻撃速度と成功率が格段に高まります。( 前回記事「「ClickFix型攻撃」対策に!最小権限の原則に基づく管理者権限の運用」)
フェーズ4:EDRの回避・無効化
権限を奪取した攻撃者は、いよいよEDRの回避に取りかかります。
ここで使われるのが、以下のようなテクニックです:
ntdll.dllをメモリ上で上書きし、EDRのフックを解除(Unhook)- サンドボックスを検出して挙動を変化させる(Anti-Analysis)
- 脆弱なドライバを持ち込み、EDRのカーネル機能を停止(BYOVD)
- 独自のシステムコール(Direct Syscalls)を使い、ログに残さず操作を進行
この時点でEDRは、攻撃者の活動を「不審とは判断できない」状態に陥っています。
つまり、EDRの“目”が閉じられている状態です。
フェーズ5:暗号化と破壊活動の実行
EDRを回避した攻撃者は、暗号化ツールを展開し、ファイルを次々とロックしていきます。
- 同期フォルダ(例:OneDrive, SharePoint)を優先的に対象に
- シャドウコピーを削除(
vssadmin delete shadows) - ファイルの拡張子変更を遅延させ、検知をさらに遅らせる
- システムの一部を破壊して、復旧そのものを困難に
この間、EDRは静かにログを取り続けているか、すでに停止させられており、検知できたとしても、被害が既に発生した後となります。
たとえば、以下のようなEDR回避技術が実際に使用されています。
| 技術名 | 概要 |
|---|---|
| Direct / Indirect Syscalls | フックを回避し、システムコールを直接呼び出すことで検知をすり抜け |
| Unhook(DLL上書き) | フックされた ntdll.dll などをメモリ上で上書きし、EDRの介入を排除 |
| BYOVD | 脆弱な署名付きドライバを悪用し、EDRのカーネル機能を無効化 |
| ファイルレス攻撃 | ディスクに痕跡を残さず、メモリ上のみで攻撃が完結 |
| DLL Sideloading | 正規アプリに悪意あるDLLを読み込ませることで不正コードを実行 |
| LOLBins(Living off the Land Binaries) | regsvr32.exe や mshta.exe などの正規Windowsツールを悪用して、EDRを回避 |
このような回避技術の進化により、EDRの“検知前提”モデルは限界を迎えつつあり、攻撃者が最終的な暗号化を完了させるまで気付かれないケースも少なくありません。
EDRは突破される前提で作戦を立てられている
攻撃者は「EDRのない環境」ではなく、「EDRがある前提」で攻撃を組み立てます。
そのためにまずは環境を偵察し、特権を奪取し、監視を無効化し、最終的に暗号化を完了させます。
EDRの“検知する”という特性を逆手に取り、攻撃者は“気づかれる前に完了させる”という作戦で動いているのです。
だからこそ、EDRだけでは防ぎきれない“暗号化”という最終局面に対し、振る舞いそのものをリアルタイムにブロックする「Heimdal ランサムウェア暗号化防御 X(以下、REP X)」のような能動的防御が必要とされています。
特に近年の攻撃は、EDRが通知を上げたときには既にファイルが暗号化されているという「後手対応」になりがちで、被害の抑止には至らないこともあります。
検知してから対処する“反応型”のアプローチだけでは、攻撃速度に対応しきれない、、、
だからこそ、暗号化そのものを即時にブロックする“能動的な防御”の必要性が高まっているのです。
EDRで止めきれない“出口攻撃”に備える「REP X」という選択肢
こうした現実を背景に、Heimdal社が提供する 「REP X(Ransomware Encryption Protection X)」 が注目を集めています。
REP Xは、EDRやNGAVとは異なる視点から、“暗号化そのもの”をリアルタイムに阻止する専用モジュールです。
従来のセキュリティ製品と競合せず共存可能なアーキテクチャで、EDRの盲点を補う“最後の砦”として設計されています。
REP Xが実現する「4つの検知エンジン」
REP Xは以下の4つの補完的なエンジンによって、暗号化のプロセスを根本から制御します。
| エンジン名 | 機能概要 |
|---|---|
| Encryption Engine | 実行中の暗号化処理をリアルタイムで検出・遮断 |
| Rename Engine | ファイル名変更(例:.encrypted への拡張子変更)を検知して阻止 |
| Shadow Copy Engine | 復元ポイント(シャドウコピー)への攻撃を防ぎ、復旧手段を維持 |
| Canary Engine | Canary(おとり)ファイルを使い、初期挙動で感染を即検出し、端末隔離 |
これにより、被害が発生する前に暗号化プロセスを停止するという、EDRでは実現困難な制御を可能にします。
実用性に優れたREP X “止める力”と“運用性”の両立
REP Xの強みは、検知・遮断機能だけにとどまりません。
実際の企業環境での運用を想定した多彩な機能を備えています。
主な機能・強み(抜粋)
| カテゴリ | 内容 |
|---|---|
| ファイルシステム監視 | ファイルの変更・削除・暗号化などの操作をリアルタイムに監視し、ランサムウェア特有の挙動(連続暗号化、拡張子変更など)を即時検出・阻止 |
| シグネチャレス検知 | 未知の脅威やファイルレス攻撃にも対応。パターンに依存せず、異常挙動を解析ベースで検出 |
| クラウド対応 | OneDriveやSharePointなどMicrosoft 365の同期ディレクトリにも対応。クラウドに被害が波及する前にブロック |
| 詳細ログ・可視化 | 実行プロセス、ハッシュ、タイムスタンプ、アクセス先などを詳細に記録し、原因分析やインシデント対応に活用可能 |
| 自動隔離と復旧支援 | 感染が疑われる端末を即時ネットワークから自動隔離し、シャドウコピーの保護により迅速な復旧も可能 |
| 監査・コンプライアンス | GDPR、NIS2、ISO 27001、HIPAAなど主要基準に準拠したログ記録とレポート生成で、監査・報告業務をサポート |
REP Xは既存EDRと共存し、弱点を補完する
REP Xは、Microsoft Defender、CrowdStrike、SentinelOneなど他社EDR製品と干渉することなく稼働可能で、追加の防御レイヤーとして導入できます。
導入はエージェントの追加のみで、システム停止を伴わず、既存インフラへの影響を最小限に抑えて展開可能です。
まとめ:EDRの限界を超える、実被害阻止の“最後の一手”
ランサムウェアによる被害の多くは、「暗号化が完了した時点」でビジネスインパクトが発生します。
それを止めるには、「検知に頼る」だけでなく、「暗号化を止める」専用の仕組みが不可欠です。
Heimdal ランサムウェア暗号化防御 X (REP X)は、その“最後の一撃”を防ぐための現実的かつ効果的なソリューションです。
「見つける」から「止める」へ──それがREP Xの価値です。
次回予告:Microsoft 365の守備範囲はどこまで?
Heimdal REP Xが補完するクラウド時代のランサムウェア対策。
次回は、Microsoft 365環境に潜む暗号化リスクと、REP Xがクラウド同期型攻撃にどう対応するのかを詳しく解説します。
Heimdal REP Xを試してみませんか?
エンドポイントからクラウドまで、暗号化を止める“最後の砦”を。
EDR導入済みでも、その先の備えとしてREP Xを加えてみませんか?
▶ 製品詳細を見る
参考資料
本記事はここまでとなります。
もし気になった点やご質問などあれば、お気軽にお問い合わせください。
