― Defender 時代の“その先”へ
Microsoft Defender(以下 Defender)は、いまや多くの企業にとって標準的なエンドポイント防御基盤です。
Windowsとのネイティブ統合、Microsoft 365との親和性、クラウドベースの脅威インテリジェンス、セキュリティスコアとの連携。“まず導入すべき防御”として、極めて完成度の高い標準防御と言えます。
しかし、攻撃もまた進化しました。
マルウェアを使わず、正規ツールを悪用しIDを奪取、多段階で進行し、最終的に暗号化へ至る――。
第1回 では「暗号化という結果」を止めるREP Xを解説しました。
第2回 では「Microsoft 365とITDRの守備範囲」を整理しました。
そして第3回のテーマは、『Defenderを“ベース”として、防御構造そのものを現代化する』という視点です。
その会社は、守られている“はず”だった
A社は、決して無防備ではありませんでした。
- Microsoft 365導入済み
- Defender for Endpoint稼働
- Entra IDでの認証管理
- MFA適用
- パッチ管理実施
情シス責任者の『基本対策はすべて実施しています』という言葉は、事実でした。
しかし、攻撃者もまた “DefenderとM365がある前提” で侵入を設計していました。
フェーズ1:マルウェアのない侵入
最初のきっかけは、1通のメールでした。
添付ファイルは無害。
埋め込まれたリンクから、正規クラウド経由でPowerShellが実行されました。
悪性ファイルは存在しません。Defenderは警告を出しませんでした。
なぜなら、そこに“既知のマルウェア”は存在しないからです。
ここで必要だったのは「この実行は本当に正当か?」という振る舞いレベルでの判断でした。
フェーズ2:IDは突破口になる
攻撃者は端末内部で資格情報を窃取します。
- LSASSアクセス(メモリダンプ)
- トークン抽出(Pass-the-Hash)
- 管理者権限昇格(ローカル管理者権限)
窃取された資格情報は、オンプレミスだけでなく、Microsoft 365やクラウドリソースへのアクセスにも利用され得ます。
ここで重要になるのが、第2回で触れたITDRの視点です。
ID侵害は、エンドポイント侵害と切り離せません。
攻撃は、”端末 → ID → クラウド → 再び端末” という循環構造で進行します。
フェーズ3:攻撃は“線”で進む
- 夜間RDP接続
- 複数端末への横展開 (ラテラルムーブ)
- 内部サーバーへのアクセス
これらの挙動は単発ログでは異常に見えませんが、MITRE ATT&CK®で見れば、
- Initial Access (TA0001: 攻撃者はネットワークに侵入しようとしています)
- Privilege Escalation (TA0004: 攻撃者はより高いレベルの権限を取得しようとしています)
- Credential Access (TA0006: 攻撃者はアカウント名とパスワードを盗もうとしています)
- Lateral Movement (TA0008: 攻撃者はあなたの環境を移動しようとしています)
という明確な攻撃シナリオです。
ここで必要なのは、”イベント検知ではなく、攻撃の相関可視化” です。
フェーズ4:通信が止められない限り、攻撃は続く
攻撃者は外部C2と通信を開始します。
HTTPS通信、正規ポート利用、暗号化済み。
監視上、見た目は正常です。
しかし、内部では「顧客情報」「設計図面」「認証情報」が持ち出されていました。
検知だけでは、攻撃は止まりません。
フェーズ5:その夜、暗号化が始まった
侵入から数日後の深夜2時。
共有フォルダ内のファイルが次々と書き換わります。
大量の拡張子変更、シャドウコピー削除、バックアップ破壊、クラウド同期 (バージョン履歴保持は最大500)。
Defenderがアラートを出します。しかし、”暗号化は既に進行” していました。
検知はできた。だが、止められなかった。ここに、単層防御の限界があります。
なぜDefenderは“ベース”なのか
Defenderは、以下の機能を備えた優れた標準防御です。
- 高精度なマルウェア検知
- OSレベルでの統合
- Microsoft 365との連携
- グローバル脅威インテリジェンス
それは、防御の“出発点”として非常に強力な基盤です。
しかし現代の攻撃は、次のような構造を持っています。
- マルウェアを使わない
- 正規ツールを悪用する
- IDを突破口にする
- 多段階で進行する
つまり必要なのは、”検知の強化ではなく、防御構造の進化” です。
Heimdal NGAVが意味する“現代化”
Heimdal 次世代アンチウイルス(以下 Heimdal NGAV) が提供するのは、単なるエンジン追加ではありません。
それは、”Defenderを中心に、防御レイヤーを重ねること” です
Heimdal NGAV追加後の構造
- 多段階スキャン(静的+振る舞い+クラウド)
- MITRE準拠の相関分析(XTP)
- 侵入口制御(RAP)
- 通信制御(Firewall)
- 緊急ロックダウン(Firewall)
これにより、防御は以下の機能を備えた“多層防御アーキテクチャ”へと進化します。
- 検知(Defender + Heimdal NGAV)
- 可視化(Heimdal XTP)
- 侵入制御(Heimdal RAP, Firewall)
- 通信遮断(Heimdal Firewall)
- 強制隔離(Heimdal Firewall)
そしてその設計思想の根底にあるのが、「常に信頼しない」というゼロトラストの考え方です。
単にマルウェアを検知するのではなく、
「正規に見える挙動」も疑い、「内部通信」も前提で信頼せず、「侵入後」を想定して制御する。
これが、現代型防御の前提です。
違いは性能比較ではありません。
”防御を“製品”で持つか、防御を“構造”で設計するか” の違いです。それが、“現代化”の意味です。
そして、最後の砦へ
「Heimdal NGAV」が侵害の“流れ”を断ち切る存在なら、「Heimdal ランサムウェア暗号化防御 REP X」は暗号化という“結果”を止める最後の層です。
暗号化が始まる瞬間には、以下のような振る舞いが現れます。
- 大量ファイル書き換え
- 暗号化APIの連続呼び出し
- 異常なディスクI/O
その瞬間を止めるのが、第1回で解説したREP Xです。
本シリーズのまとめ ― 防御構造の進化
- 第1回:暗号化という“結果”を止める
- 第2回:M365とITDRの守備範囲を整理する
- 第3回:Defenderを基盤に、防御構造を現代化する
Defenderは、優れたOSの“標準防御”です。
しかし、現代型攻撃に対抗するには、もう一段の進化が必要です。
検知を強化するのではなく、防御構造を多層化する。
Defenderを“ベース”として、現代型攻撃に対応した“多層防御基盤”へと進化させる。
それが、Heimdal NGAV の役割です。
Defenderを“標準防御”から、より高度な“多層防御基盤”へと進化させます。
Heimdal NGAVをMicrosoft 365環境で試してみませんか?
M365ユーザーだからこそ、必要な“出口対策”。
無料トライアル受付中です。
参考文献・出典
- Heimdal データシート「Heimdal 次世代アンチウイルス」
本記事はここまでとなります。
もし気になった点やご質問などあれば、お気軽にお問い合わせください。
