Moving Target Defense 技術 その2

公開日:

更新日:

アクティブディフェンス
         

目次

Babukランサムウェアの亜種を防御

昨年4月に「エンドポイント保護のためのMoving Target Defense技術」をご紹介しました。Moving Target Defense とは、エンドポイント保護ソリューションMorphisecが利用する技術で、マルウェアによる攻撃を受けたとしてもアプリケーションが起動する度にメモリアドレスを動的に変更することで、攻撃を成立させない技術です。また、変更前のメモリアドレスにデコイを仕掛けることで、攻撃の検知も行います。

先日、Morphisecのメーカ(Morphisec社)より、WindowsだけでなくLinuxUNIXVMwareなどのクロスプラットフォームで動き、攻撃対象とするBabukランサムウェアの亜種を防いだという情報を入手しました。今回のBlogでは、メーカからの情報を要約してお伝えします。

Morphisec社は、週末にBabukランサムウェアの新しい亜種を発見した。このウイルスは、顧客である製造業(10,000台以上のワークステーションとサーバーを保有する数十億ドル規模の企業)を標的としていた。
侵入経路は現在のところ不明。しかし、攻撃者はドメインコントローラーを侵害し、それを使ってランサムウェアを組織内のすべてのデバイスに配布したが、Morphisec がインストールされていた場所では、Moving Target Defense 技術によって同社のエンドポイントへの攻撃を阻止し、被害を未然に防いだ。
ただ、Moprhisecがインストールされていなかったサーバにおいては、別のセキュリティツール(市場シェアトップクラス)が利用されていたにもかかわらず、攻撃が成立してしまい、暗号化されてしまったとのこと。その結果、ランサムウェア攻撃のフォレンジックのために膨大な資金を投じることになったという。Morphisec社のリサーチチームは現在その企業と連携しながらギャップの把握と解決に向けて支援を行っている。
Morphisecは、他社の主要なNGAVEDRに対してこの攻撃をテストしましたが、攻撃当時は検出も防止もできませんでした。
今回の防御によって、Morphisecは未知の高度な攻撃に対して効果的な防御であることが示された。エンドポイントだけでなくサーバインフラ、OSについてはWindows (2008-R2以降)および一般的なLinuxサーバーディストリビューションもサポートできるため、そのような環境下での防御に期待できるだろう。

以上がMorphisec社からの情報です。今後、より詳細な情報を入手しましたら、皆様にお知らせします。