【第3回】Defenderだけでは暗号化を止められない?― 侵害事例でわかる Heimdal NGAVの必要性

― Defender 時代の“その先”へ

Microsoft Defender(以下 Defender)は、いまや多くの企業にとって標準的なエンドポイント防御基盤です。
Windowsとのネイティブ統合、Microsoft 365との親和性、クラウドベースの脅威インテリジェンス、セキュリティスコアとの連携。“まず導入すべき防御”として、極めて完成度の高い標準防御と言えます。

しかし、攻撃もまた進化しました。
マルウェアを使わず正規ツールを悪用IDを奪取多段階で進行し、最終的に暗号化へ至る――。

第1回 では「暗号化という結果」を止めるREP Xを解説しました。
第2回 では「Microsoft 365とITDRの守備範囲」を整理しました。

そして第3回のテーマは、『Defenderを“ベース”として、防御構造そのものを現代化する』という視点です。

その会社は、守られている“はず”だった

A社は、決して無防備ではありませんでした。

  • Microsoft 365導入済み
  • Defender for Endpoint稼働
  • Entra IDでの認証管理
  • MFA適用
  • パッチ管理実施

情シス責任者の『基本対策はすべて実施しています』という言葉は、事実でした。
しかし、攻撃者もまた “DefenderとM365がある前提” で侵入を設計していました。

フェーズ1:マルウェアのない侵入

最初のきっかけは、1通のメールでした。
添付ファイルは無害。
埋め込まれたリンクから、正規クラウド経由でPowerShellが実行されました。

悪性ファイルは存在しません。Defenderは警告を出しませんでした。
なぜなら、そこに“既知のマルウェア”は存在しないからです。

ここで必要だったのは「この実行は本当に正当か?」という振る舞いレベルでの判断でした。

フェーズ2:IDは突破口になる

攻撃者は端末内部で資格情報を窃取します。

  • LSASSアクセス(メモリダンプ)
  • トークン抽出(Pass-the-Hash)
  • 管理者権限昇格(ローカル管理者権限)

窃取された資格情報は、オンプレミスだけでなく、Microsoft 365やクラウドリソースへのアクセスにも利用され得ます。

ここで重要になるのが、第2回で触れたITDRの視点です。

ID侵害は、エンドポイント侵害と切り離せません。
攻撃は、”端末 → ID → クラウド → 再び端末” という循環構造で進行します。

フェーズ3:攻撃は“線”で進む

  • 夜間RDP接続
  • 複数端末への横展開 (ラテラルムーブ)
  • 内部サーバーへのアクセス

これらの挙動は単発ログでは異常に見えませんが、MITRE ATT&CK®で見れば、

  • Initial Access (TA0001: 攻撃者はネットワークに侵入しようとしています)
  • Privilege Escalation (TA0004: 攻撃者はより高いレベルの権限を取得しようとしています)
  • Credential Access (TA0006: 攻撃者はアカウント名とパスワードを盗もうとしています)
  • Lateral Movement (TA0008: 攻撃者はあなたの環境を移動しようとしています)

という明確な攻撃シナリオです。

ここで必要なのは、”イベント検知ではなく、攻撃の相関可視化” です。

フェーズ4:通信が止められない限り、攻撃は続く

攻撃者は外部C2と通信を開始します。
HTTPS通信、正規ポート利用、暗号化済み。

監視上、見た目は正常です。
しかし、内部では「顧客情報」設計図面」「認証情報」が持ち出されていました。
検知だけでは、攻撃は止まりません。

フェーズ5:その夜、暗号化が始まった

侵入から数日後の深夜2時。
共有フォルダ内のファイルが次々と書き換わります。

大量の拡張子変更、シャドウコピー削除、バックアップ破壊、クラウド同期 (バージョン履歴保持は最大500)。

Defenderがアラートを出します。しかし、”暗号化は既に進行” していました。
検知はできた。だが、止められなかった。ここに、単層防御の限界があります。

なぜDefenderは“ベース”なのか

Defenderは、以下の機能を備えた優れた標準防御です。

  • 高精度なマルウェア検知
  • OSレベルでの統合
  • Microsoft 365との連携
  • グローバル脅威インテリジェンス

それは、防御の“出発点”として非常に強力な基盤です。

しかし現代の攻撃は、次のような構造を持っています。

  • マルウェアを使わない
  • 正規ツールを悪用する
  • IDを突破口にする
  • 多段階で進行する

つまり必要なのは、”検知の強化ではなく、防御構造の進化” です。

Heimdal NGAVが意味する“現代化”

Heimdal 次世代アンチウイルス(以下 Heimdal NGAV) が提供するのは、単なるエンジン追加ではありません。
それは、”Defenderを中心に、防御レイヤーを重ねること” です

Heimdal NGAV追加後の構造

  • 多段階スキャン(静的+振る舞い+クラウド)
  • MITRE準拠の相関分析(XTP)
  • 侵入口制御(RAP)
  • 通信制御(Firewall)
  • 緊急ロックダウン(Firewall)

これにより、防御は以下の機能を備えた“多層防御アーキテクチャ”へと進化します。

  • 検知(Defender + Heimdal NGAV)
  • 可視化(Heimdal XTP)
  • 侵入制御(Heimdal RAP, Firewall)
  • 通信遮断(Heimdal Firewall)
  • 強制隔離(Heimdal Firewall)


そしてその設計思想の根底にあるのが、「常に信頼しない」というゼロトラストの考え方です。

単にマルウェアを検知するのではなく、
「正規に見える挙動」も疑い、「内部通信」も前提で信頼せず、「侵入後」を想定して制御する。
これが、現代型防御の前提です。

違いは性能比較ではありません。
”防御を“製品”で持つか、防御を“構造”で設計するか” の違いです。それが、“現代化”の意味です。

そして、最後の砦へ

「Heimdal NGAV」が侵害の“流れ”を断ち切る存在なら、「Heimdal ランサムウェア暗号化防御 REP X」は暗号化という“結果”を止める最後の層です。
暗号化が始まる瞬間には、以下のような振る舞いが現れます。

  • 大量ファイル書き換え
  • 暗号化APIの連続呼び出し
  • 異常なディスクI/O

その瞬間を止めるのが、第1回で解説したREP Xです。

本シリーズのまとめ ― 防御構造の進化

Defenderは、優れたOSの“標準防御”です。
しかし、現代型攻撃に対抗するには、もう一段の進化が必要です。

検知を強化するのではなく、防御構造を多層化する。
Defenderを“ベース”として、現代型攻撃に対応した“多層防御基盤”へと進化させる。

それが、Heimdal NGAV の役割です。
Defenderを“標準防御”から、より高度な“多層防御基盤”へと進化させます。

Heimdal NGAVをMicrosoft 365環境で試してみませんか?

M365ユーザーだからこそ、必要な“出口対策”。
無料トライアル受付中です。

Heimdal NGAV の製品ページを見る

参考文献・出典

本記事はここまでとなります。
もし気になった点やご質問などあれば、お気軽にお問い合わせください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【第1回】EDRをすり抜ける攻撃に備える。暗号化を防ぐ「最後の砦」REP Xの真価とは

  2. 【CheckmkKB】ユーザーテストを自動実行!アプリの体感をそのまま見える化

  3. WinSyslog 使い方ガイド#4 処理の必要がないログを絞り込んで「破棄」する

製品カテゴリー

その他の情報

TOP