はじめに
Heimdal ランサムウェア暗号化防御(Heimdal Ransomware Encryption Protection、以下REP)は、ランサムウェアによる不正な暗号化の挙動をリアルタイムで検知・ブロックする対策ソリューションです。
REPの導入後に「Blocked」というログが記録・通知されると、「ランサムウェアに感染したのではないか?」と感じたり、「優先して対応すべき事象か」と、判断や対応に迷うケースもあるかと思います。
しかし、REPの「Blocked」は必ずしも悪性ファイルの実行を意味するものではありません。
REPは、“暗号化と思われる挙動”を検知した際に、対象プロセスを強制停止する仕組みです。
これは、既知の情報に依存せず暗号化の挙動そのものを検知する仕組みであるため、未知のランサムウェアにも対応しやすいという特長があります。
ただし、圧縮ソフトなどの正当なプログラムが暗号化に近い動作を行った場合には、結果として「Blocked」と記録されるケースもあります。
こうした特性から、「Blocked」の発生時には、状況を整理し、切り分けて判断することが重要です。
本記事では、REPの「Blocked」が何を意味するのか、そして過検知の可能性がある場合に担当者が確認すべきポイントを整理します。
REPの「Blocked」とは?
REPの「Blocked」は、暗号化が疑われる処理が開始されたことをトリガーに、REPが該当プロセスを停止した記録です。
重要なのは、これは “暗号化に見える挙動” に対するブロック動作の記録であるという点です。
つまり、「Blocked」が表示されたからといって、直ちに悪性であることが確定するわけではありません。
一方で、本当にランサムウェアによる暗号化だった場合には、停止までのわずかな間に一部ファイルがすでに暗号化されている可能性もあります。そのため、「Blocked」を確認した場合は、“過検知かもしれない” と軽視することも、“感染確定だ” と即断することも避け、状況を確認することが重要です。
過検知とは?
REPは、シグネチャベースで単純に“既知の悪性ファイル”を検出しているわけではなく、
ランサムウェアの暗号化に類似した挙動を監視して防御します。
この仕組みによって未知の脅威にも対応しやすくなる一方で、
正規のプログラムが同様の動作を行った場合にも、REPが防御を実行することがあります。
たとえば、以下のような処理は暗号化に似た振る舞いと見なされBlockされる可能性があります。
- 圧縮ソフトによる大量ファイル処理
- バックアップソフトによる一括書き換え
- ファイル変換・保護ツールによる連続処理
- 独自業務アプリケーションによる多数ファイルへの高速アクセス
こういった、悪性ではない通常使用のファイルを検知してしまうことを、「過検知」といいます。
では、過検知かもしれない!と思った時はどうすればよいでしょうか。以下に確認項目を整理しました。
確認したい項目
確認項目①社内利用状況・ファイルの入手経路を確認する
担当者がまず確認したいのは、該当時刻の前後でそのプログラムが意図的に使用されていたかどうかです。
過検知が疑われる場合は、まずHeimdal ダッシュボードから、端末名、ユーザー名、プロセス名、実行パス、コマンドライン、暗号化対象ファイルなどを確認します。
そのうえで、ユーザーに対し「業務で利用しているプログラムか」「どこから入手したか」「検知時にどのような操作をしていたか」を確認します。
ダッシュボード上の事実とユーザーの利用実態を照らし合わせることで、過検知の可能性があるか、不審な実行かを切り分けやすくなります。
以下のように、ダッシュボードで確認できる情報と、ユーザーに確認すべき内容を対応づけて整理すると、初動確認を進めやすくなります。
| ダッシュボードで確認できること | (例)ユーザーに聞くべきこと |
| 端末名 / ユーザー名 | 実際にこの端末を利用していましたか。 |
| プロセス名 | このプログラムを業務で利用しましたか。 |
| 実行ファイルのパス | この場所にそのファイルを保存した覚えはありますか。通常もこの場所から実行していますか。 |
確認項目②MD5をVirusTotalで照合する
Heimdal Dashboardでは、検知されたプロセスのMD5(ハッシュ値)を確認できます。
このMD5をVirusTotalで照合することで、既知のマルウェアとして広く認識されているファイルかどうかを確認できます。
もしVirusTotal上で複数のエンジンが同一ハッシュを悪性と判定している場合は、既知の不審ファイルである可能性が高いと判断できます。
一方で、検出結果が出ない場合や、判定が少数にとどまる場合は、直ちに安全と断定するのではなく、①で確認した利用状況や入手経路、必要に応じて③のHeimdalへの確認依頼もあわせて判断しましょう。
Virus Totalとは?
VirusTotalは、ファイルやハッシュ値を複数のセキュリティベンダーの検知結果と照合できるオンラインサービスです。 VirusTotalでMD5値を照合することで、既知のマルウェアとして広く認識されているファイルかどうかを確認できます。
確認手順
- ダッシュボードを開く
- Products > Endpoint Detection > Ransomware Encryption Protection に移動
- 該当する検知記録の Process Name を選択
- Process Details 画面へ遷移
- 画面右側の Targeted Process Details から MD5情報 を確認
- MD5が表示されている場合、VirusTotalの旗マークを選択
- VirusTotal上で、当該ファイルが悪性として検出されているかを確認
この方法のポイント
- 既知のファイルかどうかを素早く確認できる
- 複数セキュリティベンダーによる判定状況を参考にできる
- ただし、MD5が取得できていない場合はこの方法は使えません
MD5照合は、そのファイルが既知の脅威かどうかを素早く確認するための手段として有効です。
ただし、VirusTotalで検出されなかった場合でも、それだけで安全とは言い切れません。ユーザーへのヒアリング結果や、Heimdalダッシュボード上の実行パス・コマンドライン・暗号化対象ファイルなどの情報とあわせて確認することが重要です。
確認項目③該当ファイルをHeimdalクラウドへアップロードして確認する
Heimdalのランサムウェア暗号化防御(REP)では、検知・ブロックだけでなく、検知されたファイルをHeimdalクラウドへアップロードし、確認を依頼する機能も利用できます。
弊社ジュピターテクノロジーを通じてHeimdalをご購入いただいたお客様には、サポートサービスを提供しており、REPで検知されたファイルについてHeimdal側で確認を依頼する対応も、サポートの一環として利用可能です。
MD5照合や利用状況の確認だけでは判断が難しい場合でも、追加確認の手段を取ることが可能になります。
確認手順
- ダッシュボードを開く
- Products > Endpoint Detection > Ransomware Encryption Protection に移動
- 該当の検知記録の チェックボックス を選択
- Upload to storage を選択し、Apply をクリック
- 確認画面では、Yesをクリック(アップロード完了後にダッシュボードログインメールアドレスへ通知を送るか選択できます。)
- アップロード完了後、ログインメールアドレスに完了通知が届く
- ジュピターテクノロジーカスタマーポータル から、対象端末のホスト名 と イベント発生日時 を記載した確認依頼チケットを発行する
確認完了後、カスタマーポータル経由で確認結果をご案内します。
この方法が向いているケース
- MD5が取得できなかった場合
- VirusTotalだけでは判断が難しい場合
- 実ファイルベースで詳細な確認を進めたい場合
ファイルそのものをもとに確認できるため、“正規の業務ファイルなのか”“より詳しい解析が必要か” を切り分けるうえで有効です。
過検知と判断した場合の対応は?
社内で正当に利用しているソフトウェアであり、入手元や実行状況にも不審な点がなく、MD5照合や追加確認の結果にも大きな問題が見当たらない場合は、過検知の可能性が高いと考えられます。
その場合は、確認結果を整理したうえで、今後も同じソフトウェアを利用するか、追加対応が必要かを判断します。
継続利用するソフトウェアは許可ルール(ホワイトリスト)に追加する
確認の結果、正規の業務ソフトウェアであり、今後も継続して利用する場合は、同じ動作によって繰り返しREPの「Blocked」が発生しないよう、許可ルール(ホワイトリスト)への追加を検討します。
ただし、広い条件で一律に許可するのではなく、対象をできるだけ絞り、正規性を確認しやすい条件で登録することが望ましいです。
また、ソフトウェア更新時には条件の見直しが必要になる場合もあります。
許可ルール追加手順
- ダッシュボードを開く
- Products > Endpoint Detection > Ransomware Encryption Protection に移動
- 該当の検知記録の チェックボックス を選択
- Exclude を選択し、Apply をクリック
- 除外設定の適用範囲を選択
- Exclude for specific Group Policies : 特定のグループポリシーのみ除外設定を反映
- Global exclude:すべてのグループポリシーに除外設定を反映
- 識別子(Friendly name)を任意で入力
- 除外設定方法を選択してYes をクリック
- Add by file name:ファイル名で除外
- Add by Directory path:ファイルがあったディレクトリを除外
- Add by file path:ファイルパスで除外
- Add by MD5:MD5(ハッシュ値)で除外
- 除外設定追加完了の通知が表示されて完了
除外設定一覧は、各グループポリシー > Endpoint Detection > Ransomware Encryption Protection > Exclusions から確認可能です
本物の脅威が疑われる場合は速やかに切り分けを切り替える
利用状況や入手経路に不審な点がある、暗号化されたファイルが確認できる、または複数端末・共有フォルダに影響が及んでいる場合は、過検知対応ではなく、セキュリティインシデント対応として扱うべきです。
IPAでは、ランサムウェア感染が疑われる場合は、まず感染したパソコンやサーバーの利用を停止し、ネットワークから切り離すことが重要としています。あわせて、情報セキュリティ責任者への報告、対応体制の立ち上げ、影響範囲の確認を進める流れが示されています1。
またJPCERT/CCでも、被害が疑われる場合は、被害範囲の把握、攻撃原因の解消、攻撃者の要求に応じず復旧を進めることを基本方針として案内しています。具体的には、被害拡大を防ぐために、侵害が確認されたシステムをネットワークから隔離し、必要に応じて管理者アカウントや設定変更の影響も確認することが重要とされています2。
ダッシュボードで影響範囲を確認・通信先IPをブロック
Heimdal ダッシュボードでは、検知・ブロックされたプロセスの実行パスや、暗号化の対象となったファイルの場所を確認できます。これらの情報を参考にすることで、どのファイルや領域に影響が及んでいるかを整理しやすくなります。
また通信を伴う挙動が確認された場合には、ダッシュボード上で通信先 IP アドレスをブロックする対応も可能です。被害拡大を防ぐための対策として、状況に応じて活用を検討しましょう。
通信先IPブロック手順
- ダッシュボードを開く
- Products > Endpoint Detection > Ransomware Encryption Protection に移動
- 該当の検知記録の Process Name をクリックし、Process Details 画面に移動
- Network Activity から、ブロックするIPを選択
- 「Block IP」を選択し、「Apply」で適用
- 設定の適用範囲を選択 してYesをクリック
- Global Update:すべてのグループポリシーに設定を反映
- Custom Policy Update : 特定のグループポリシーのみ設定を反映
- 除外設定追加完了の通知が表示されて完了
こうした事象を確認すると焦ってしまいがちですが、まずは落ち着いて、状況の確認と必要な対応を一つずつ進めていきましょう。
まとめ
Heimdal ランサムウェア暗号化防御 の「Blocked」は、暗号化とみられる動作を検知し、対象プロセスを停止した記録です。
そのため、実際にランサムウェア対策として有効に機能しているケースがある一方で、圧縮ソフトなどの正当な処理によって過検知が発生することもあります。
「Blocked」を確認した場合は、まず以下を押さえるとスムーズです。
- 該当時刻にそのプログラムが意図的に使われていたか確認する
- ダッシュボード上のMD5をVirusTotalで照合する
- 必要に応じて、ファイルをHeimdalクラウドへアップロードして詳細確認を依頼する
過検知と判断できた場合は、継続利用するソフトウェアに対して許可ルール(ホワイトリスト)の追加も検討しましょう。
また不審な点がある場合は、切り離しや影響確認などのインシデント対応へ速やかに切り替えましょう。
REPのイベントは、「止めた」という事実だけで結論を出すのではなく、運用状況と技術情報の両面から判断することが重要です。
本記事はここまでとなります。
最後までお読みいただきありがとうございました。
