今こそEDR
– 高度化するサイバー攻撃を迎え撃つ –

セキュリティ

高度化するサイバー攻撃に対抗するために必要なEDRをわかりやすく解説

昨今のサイバー脅威は急激に高度化しており、日々数万単位の脅威が生み出されています。侵入時にパターンマッチングで検知を行う、従来型のEPP(Endpoint Protection Platform)は、多くの企業で導入されていますが、日々生み出される高度なサイバー脅威には、耐えられなくなっているのが現状です。EPPの監視を掻い潜り、侵入に成功した脅威は攻撃を繰り返し、他の重要な資産へも拡散していくため、ユーザーが知らない間に被害が拡大する恐れがあります。そこで重要となるのが、侵入、感染をできるだけ早く検知し、対応を行うことです。

本コラムでは、全3回にわたり、高度化するサイバー攻撃に対抗するために必要な情報をお伝えしていきます。

高度化したサイバー攻撃、ファイルレスマルウェアとは?

サイバー攻撃が高度化した今、万全の対策をしていても被害に遭ってしまう、ということが増えています。なかでも、高度化する脅威として危険視されているサイバー攻撃が、ファイルレスマルウェアです。このファイルレスマルウェアは、exeファイルなどの実行ファイルを使用せず、OS標準のツールを使用し、メモリー上で不正なコードを実行するのが特徴です。

通常のマルウェアによる攻撃の場合、実行ファイルがディスク上に保存され、メールの添付ファイルや、メールの文面でリンクされたWebサイトにアクセスすることで感染します。現在、多くの企業で導入されているEPPでは、実行ファイルに含まれるシグネチャと既知の脅威とのパターンマッチングを行い、水際で被害を食い止めます。しかし、実行ファイルを使用しないファイルレスマルウェアは、そもそもシグネチャがない、すなわちパターンマッチング対象が存在しないため、EPPでは検知することができません。

ファイルレスマルウェアの感染経路

ファイルレスマルウェアが危険視されている理由はこれだけではありません。それは、被害に気づいたとしても、感染原因や攻撃手法をつきとめることが極めて困難である点です。では、ファイルレスマルウェアの感染原因や攻撃手法はどのようになっているのでしょうか。

代表的な例では、実行形式ではないショートカットファイルやレジストリなどがメールに添付されます。そして、そのメールを開封し、添付されたファイルをクリックすることで感染しますが、その際、利用されるのがPowerShell などのOS標準のツールなのです。ディスク上ではなく、PCのメモリー上に悪意あるコードを展開して実行し、感染したPCを不正に操作します。

ファイルレスマルウェアの特徴をまとめると、以下の3点があげられます。
  • 実行ファイルがなく、PCのディスク上に保存されない
  • EPPでは検索対象外である「メモリー」上で動作する
  • PowerShellなどの動作はログが残らないこともあり、検知や攻撃手法の特定が困難である

このようなファイルレスマルウェアは、1日当たり数万もの新種が誕生しているとも言われ、今後もさらに増加すると見られています。

これからのサイバー脅威に対抗するには、「侵入後の迅速な対応」を行うことが重要

サイバー攻撃が高度化の一途をたどる昨今、EPPのような既知の脅威を防御する手法だけでは、安全性を確保することがほぼ不可能です。侵入された後の挙動を分析して、脅威を検知する対策が重要となってきます。そこで登場するのが、新たなセキュリティ対策製品EDR(Endpoint Detection and Response)です。

EPPが主に既知の脅威から防御するものであるのに対し、EDRは不正な挙動・振る舞いを検知し、感染後の対応を迅速に行うことを目的としたセキュリティ製品です。EDRにより、EPPで検知できなかったファイルレスマルウェア等による不正な挙動をいち早く検知し、対応することが可能になります。

まとめ

大規模な被害を与えたサイバー攻撃が、企業環境内で検出されるまでの時間は、全世界で日本が最も遅く、平均17時間※1を要していることが分かっています。
ただし、この数字は最良のケースであり、データ漏洩事件の68%※1は、発見されるまで数カ月以上かかるということも分かっています。この数字だけで見ても、侵入したサイバー脅威が組織全体、関係各所に広がり、大きな被害をもたらす危険性が容易に想像できるでしょう。
※1 出展:ソフォス社「7つの気になる真実-エンドポイントセキュリティ」

今後、サイバー脅威はさらに進化し、ファイルを一切使用しない攻撃手法が生まれることも考えられます。こうしたリスクを少しでも軽減するためには、既知の脅威に対する防御に加え、感染をすばやく検知し、迅速な対応を行うことが重要です。

第2回は、感染後の迅速な検知と対応を実現するEDRについて、さらに詳しくご説明します。
第2回「今こそEDR – EPPと何が違う?特徴とメリット –」の記事を読む
第3回「今こそEDR – 外部サービスを利用しEDRを有効活用 –」の記事を読む

関連サービス情報

Cyber NEXT ロゴ
高度なEDR機能と、業界トップレベルのエンドポイント保護機能を統合
複雑なセキュティインシデントの原因を解決に導く「EDR原因解析サービス

関連記事一覧