Windows搭載のMicrosoft DefenderとMorphisecでランサムウェアを対策する

公開日:

更新日:

執筆者:MORPHISEC TEAM|

アクティブディフェンス
         

目次

※本記事はMorphisec社のSTOP RANSOMWARE WITH MICROSOFT DEFENDER AND MORPHISECの記事をもとに、日本の方々向けに作成しています。

ランサムウェア攻撃は2020年から2021年の間に105%も増加していて、2022年の現在でもランサムウェアの攻撃は猛威を振るっています。ランサムウェアの攻撃で、企業規模に関わらず多くの組織や重要インフラ、政府さえも壊滅的な被害を受けました。

一例では、Conti2020年に発見されたランサムウェアの一種)を用いた攻撃により、アイルランドの公的医療サービスの母体がシステム停止となり、事実上、国全体が身代金を要求されたこともありました。このような被害状況から、それほど、ランサムウェアの対策は困難であると言えます。

ランサムウェアが猛威を振るった原因は多数ありますが、特に大きかった要因はリモートワークの普及です。クラウド技術と並んで、VPNやリモートデスクトッププロトコルなど、リモートワークに必要なツールや技術の利用により社内環境が変化し、多くの脆弱性が発見されました。

リモートワーク推進によりセキュリティホールが発生しランサムウェアが猛威を振るう

急速にアップデートが繰り返される脅威と環境の変化に伴い明らかになった脆弱性により、多くの組織がセキュリティ予算を増やして対応しています。しかし、残念なことにセキュリティへの投資を増やしたからといって、安全性が確実に担保されるわけではありません。

セキュリティへの投資を増やしたとしても、最新のランサムウェア攻撃に対抗する適切なソリューションでないと被害に遭ってしまいます。そして、サイバー攻撃者は、検知型のセキュリティをすり抜けるために攻撃手法を高度化し、端末のメモリに潜伏する攻撃手法を開発しています。

アップデートを繰り返すランサムウェアに対抗するためには、Morphisec(モルフィセック)のメモリをランダマイズするMoving Target Defense のような、高度化した攻撃にも対応する防御技術が必要です。

ランサムウェア対策が必要なのは大企業だけではない

ランサムウェアの被害事例を見ると、サイバー攻撃者は大企業を好むと考えている方が多いのではないでしょうか。しかし、サイバー攻撃者にとって必ずしも企業規模で標的を選んでいるわけではありません。

実は、サイバー攻撃者は企業規模よりも、標的となりうる企業が個人情報を保有しているかどうかを重要視しています。理由として、企業は個人情報の流出を防ぐために身代金を支払うことを、攻撃者は知っているからです。

また、組織はこれまで以上に多くの個人情報をデジタルで収集、処理、保存しています。COVID-19の影響によるリモートワークの推進で、企業は個人情報をデジタルで利用できるように急速に準備を行いました。

つまり、想像を絶する量の個人情報が、オンプレミスサーバや書類からクラウドに移行したのです。しかし、クラウドのセキュリティ脆弱性のうち、最大70%を占める理由が「クラウドの設定ミス」というように、個人情報の保護は後回しにされがちです。

一方、個人情報を適切に保護していない企業にとっては、法律の厳格化により法的責任と罰則時の科料が増大しています。EUでは、GDPRの施行の影響で罰金は増加傾向です。2021年6月~9月には、10億ドルを超える制裁金が組織に課されました。これは、2021年1月~3月と2021年4月~6月を合わせた額の20倍にあたります。

サイバー攻撃者は現在、ランサムウェアに感染させた企業から身代金が支払われないまま放置された場合、当該企業を管轄する捜査当局に報告するとまで脅すようになっています。

EU_GDPR

米国には、GDPRのような連邦法は存在しませんが、CPRACalifornia Privacy Rights Act)のようなカリフォルニア州独自の新しい法律が注目を集めています。今後、データ侵害によって顧客や従業員の個人情報データが流出した場合、罰金に直面する企業が増えていくでしょう。

標準的なセキュリティツールでランサムウェア対策は困難?

企業はランサムウェア攻撃の増加により、次世代アンチウィルス(NGAV)、エンドポイント保護と侵入後の対応EDR)などのセキュリティ対策に多額の投資を行っています。しかし、これらのセキュリティ対策はランサムウェアに対する有効性が低下しています。

この傾向を物語るのが、身代金の支払いを選択する組織の多さです。2017年は、サイバー攻撃者に身代金を支払った企業は40%以下にもかかわらず、2021年は63%の企業が身代金を支払いました。企業はセキュリティ対策を増やしている一方で、攻撃者はより高度な攻撃手法を採っています。

かつての、WannaCryのようなランサムウェアは自動的に拡散しましたが、現在のランサムウェアは、人間が操作する攻撃が多くなっています。

このような攻撃を「ハンズオンキーボード攻撃」と呼ばれており、熟練したサイバー攻撃者がマルウェアの感染経路を直接操作します。リモートアクセス型トロイの木馬(RAT)を使用することで、攻撃者は企業の脆弱点を見つけ出すことができます。

そして、セキュリティソリューションが検知できない場所(デバイスメモリ等)からランサムウェアに感染させます。

セキュリティの防御機能をすり抜け、ランサムウェアに感染してしまう

従来のセキュリティツールは既知の脅威を十分に発見できますが、このようなデバイスメモリから起動する攻撃に対しては、無防備なままとなってしまいます。

高度化するランサムウェア攻撃を防ぐ対策

高度化するランサムウェアを対策する

とはいえ、企業に押し寄せる一般的な脅威に対しては、アンチウィルス対策が効果的です。Microsoft Defender for Endpointは、各種ベンダーが提供する製品に匹敵する、あるいはそれ以上のレベルの有効性を有します。

他のシグネチャベースのセキュリティソリューションと同様に、Microsoft Defenderは、デバイス内のメモリを悪用する脅威やゼロデイ攻撃を十分に防ぐことはできません。しかし、Morphisecと組み合わせることで、Microsoft Defenderや他のセキュリティソリューションを補強して、高度な攻撃の対策ができるようになります。

Morphisecは、既存のセキュリティと組み合わせることで端末の保護を強化することが可能です。Morphisecの防御技術であるMoving Target Defenseは、アプリケーションが実行される際に、メモリをランダマイズさせることで、攻撃者対象のアプリケーションや脆弱性を見つけることを不可能にします。

メモリをランダマイズする手法は、処理が低いためアプリケーションの動作を妨げず、端末負荷が非常に低いので既存のセキュリティソリューションと競合しにくいことも特徴です。

本記事の参照記事

  1. MORPHISEC|STOP RANSOMWARE WITH MICROSOFT DEFENDER AND MORPHISEC(参照日:2022-07-01)