手口が確認されたランサムウェア被害の78%が二重恐喝型
最初に今村氏は、サイバー攻撃の現状について説明した。
2023年9月21日に警視庁が公開したレポート「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年上半期に都道府県警察から警察庁に報告されたランサムウェア被害件数は103件、その中で手口を確認できた被害(83件)のうち78%(65件)が二重恐喝型だった。つまり、データが暗号化されるだけでなく、不正に入手されたデータの複製が攻撃者のサーバーにアップロードされ、公に開示される危険性もある。また、復旧等に要した期間という観点では10件が調査/復旧に1ヵ月以上を要しており、ランサムウェア被害が業務に与えた影響という観点では、有効回答63件のうち95%(60件)が何らかの業務に影響が出たと回答している。
サイバーセキュリティが重要な問題となっているのは日本だけではない。世界も同じだ。このような状況を受け、イスラエル軍のサイバー部隊である「8200部隊」のメンバーが2012年に設立したのがCybereasonだ。「Protect It All」をテーマとしており、米国、日本などに拠点を持つ。
日本法人は2016年に設立され、東京、大阪、名古屋と3ヵ所にオフィスを構える。「サイバーリーズンでは、日本法人でも半数以上がアフターサポートに従事している。製品の販売だけではなく、セキュリティアラートが上がった際に対処するSOCサービスも自社で提供している」と今村氏。このほか、カスタマーサクセス、プロダクトサポート、テクニカルコンサルタントなど様々なメンバーも在籍しており「お客様にしっかりと寄り添うセキュリティ体制を提供している」という。
サイバーリーズン セールスエンジニアリング部 セールスエンジニア
今村友哉氏
Cybereasonは外部からの評価も高い。Gartner社が提供する「Magic Quadrant」では2022年エンドポイントプロテクション(EPP)分野で「リーダー」の位置付けを獲得。また、2023年9月20日に公開されたばかりのMITRE EngenuityのATT&CK評価の第5ラウンドでも、好成績となったことを報告する。
MITRE Engenuity社はMITREのサイバーセキュリティ部門として設立され、サイバーセキュリティに関連する様々な課題に対処し、セキュリティテクノロジーの評価、標準の策定などの活動を行っている。その中でもATT&CK評価は、サイバーセキュリティコミュニティにおいて非常に注目されている。ATT&CKフレームワークを使用して、セキュリティ製品やツールの効果が第三者の目線で評価され、各社のソリューションに対して攻撃のテクニックごとに検知の感度やアラート関連の画面設計を比較することができる。
「主要ベンダーが参加しているため、各社のそれぞれのソリューションを詳細に検証する工数をかけずとも、どの製品が自社に最適であるかを特定するヒントにもなる」と今村氏は位置付けを説明する。
その最新版「Round 5(第5ラウンド)」の評価結果で、CybereasonはNGAV(Next Generation Anti-Virus)とEDR(Endpoint Detection and Response)の2製品のみで、5つのカテゴリー(「実行防止」「検知」「100%可視性」「リアルタイム検知」「チューニング不要(設定変更不要)」)で最高レベルの評価を獲得したという。
最終着弾点であるエンドポイントを守るには
エンドポイントを保護する必要性は言うまでもない。初期侵入→足場確立→感染拡大→情報窃取→暗号化といったサイバー攻撃の流れにおいて、「クラウドやネットワークのレイヤで守ることも大事だが、最終的に重要なデータが集約されているのは端末やサーバー、つまりエンドポイントは最終着弾点と言える」と今村氏。ここに対してしっかり対策をするのがエンドポイントセキュリティ製品となる。
エンドポイントセキュリティ製品は、「防御」に重点を置いたものと「検知・対応」に重点を置いたものの2つに大別できる。Cybereasonは「防御」ではアンチウイルスやNGAVを、「検知・対応」ではEDRやMDR(Managed Detection and Response)を展開している。
それぞれの技術についても説明した。
まず、アンチウイルスとNGAVの違いについて今村氏は、一般的なアンチウイルスは既知のマルウェアのシグネチャ(特徴的なパターン)を検出し、それに基づいてマルウェアを特定・ブロックするのに対し、NGAVは機械学習アルゴリズムなどを使用することで既知のマルウェアだけでなく、未知の脅威(モダンなマルウェアやファイルレス攻撃、悪意のあるドキュメントなど)にも対応できると説明する。そのためNGAVは、アンチウイルスをバイパスしようと複雑化されるツールやマルウェアの進化に対抗するためにも重要なソリューションであり、脅威が組織やシステムの内部に侵入する前にしっかりと食い止めることが組織のセキュリティを向上させるためには必要だと言う。
一方でEDRは、高度な攻撃・脅威の検知とインシデント対応に特化しており、不正通信や端末の中で行われる不審な挙動などのサイバー攻撃の兆候を追跡し、リアルタイムでアラートを発生させる。そのため、万が一セキュリティ製品の防御対策をすり抜けるマルウェアが端末内部に入ってきたとしても、マルウェアが実行されたユーザや端末情報、プロセスが読み込むDLLやバックグラウンドで動作したコマンドラインなどがしっかりと可視化されることで、発生した原因や影響を特定し、調査して迅速に対応することができる。
また、MDRは、EDRで検知するアラートに対して、被害を最小限に抑えるために脅威を監視するサービスである。Cybereasonでは、これまでもMDRを提供しながら数々の顧客を守ってきた多数の実績もある。
NGAVが提供する多層防御のセキュリティアプローチ
では、CybereasonのNGAV、EDRはどのような特徴を持つのだろうか。
NGAVでは、多層防御が特徴となる。アンチウイルスはシグネチャで既知のマルウェアに対して防御するが、CybereasonのNGAVではパターンマッチングだけでなく、AIによる解析、悪意あるドキュメントの実行防止、脆弱性を悪用するエクスプロイトの保護などマルウェアの振る舞いに基づいた防御の機能も備える。さらには、ランサムウェアの振る舞いを検知して防御する予測型ランサムウェア対策、暗号化されたファイルの自動復元といった機能も追加されており、モダンな攻撃やマルウェアからも顧客を守るべく、様々な防御・検知ロジックの開発に日々従事している。
「ここまで様々な機能を組み込んだNGAV製品はそう多くはないのでは。しっかり防御するためにどんな機能が必要かという議論は開発部隊に任せきりではなく、日本チームの中でも日々行われており、日本のお客様から出てくるニーズもしっかりと伝え、必要な機能追加が行われている」と今村氏は述べる。
EDRで複数台の端末に対して一斉に対処
EDRはどうだろう。EDRは各端末に入れたエージェントから、顧客専用の解析サーバーにリアルタイムにデータをアップロードして監視・解析する。怪しいアクティビティなどを検知するとアラートを上げるというものだ。
CybereasonのEDRでは、エージェントがサイレント・センサーとしてCPU使用率/通信量が比較的低く、端末やネットワークへの負荷が少ないこと、Windows/Mac OS/Linuxなど幅広く対応し、他のアプリケーションやOSとのコンフリクトが少ないことなどの特徴がある。解析では、インメモリデータベース上で毎秒800万回の問い合わせを行い、異常な振る舞いから未知の攻撃を絞り込むなど、様々な特徴を持つ。
今村氏は、「可視化と検知」「対処・対応」の2つから、EDRのメリットを説明した。
可視化と検知では、「どのユーザー(端末)がマルウェアを実行したのか、マルウェアを開いたときにどのようなプロセス(子プロセス)が生成されたのか、実行されたコマンドラインはどのようなものか、などがしっかりと可視化される」と今村氏。
業務端末を使用するユーザーが不審なファイルを開いてしまったとき、不安を感じてPCを再起動もしくはシャットダウンするケースをよく見る。すると、感染後フォレンジックやインシデントレスポンスなどの調査を実施する際に、実行されたコマンドログなどが、消えてしまうことで後追いができず、何が起こったのか特定することが困難となる可能性もあるという。EDRを導入していれば、マルウェアが動作したタイミングに発生した様々な情報がデータとして残る。そのため、どこの外部サーバーからどのようなファイルがダウンロードされて、どのフォルダに配置され、いつ実行されたのかなどが一元的に把握でき、詳細な調査を実施しやすくなるとした。
対処・対応とは、上がったアラートに対するアクションとなる。怪しいプロセスが動いている状態なら管理者側から該当のプロセスを強制的に終了させたり、アラートを発報した端末をネットワークから即座に隔離させるなどのアクションを行うことが可能だ。CybereasonのEDRでは、同じ攻撃を受けた複数台の端末に対して一括でこれらの対応アクションを投げることができるという。たとえばグループメンバーを複数人含むようなメールアドレスに対して、悪意のあるファイルが添付されており、複数のユーザーがそのファイルを開き、実行してしまった場合、アラートがそれぞれ大量に発報されるのではなく、攻撃の種類ごとにまとまって発報される。そのアラートに対して、一括で対応アクションを行うことで複数台の端末に迅速に対応可能な仕組みだ。
このような機能があることで、リモートワークを行うユーザーやオフィス外で働く社員の端末に対しても即座に対応し、被害を素早く最小限に抑えることができる、と今村氏。
日本企業に支持される3つのポイント
EDRなど製品の機能、MITRE Engenuity ATT&CK評価 第5ラウンドで評価された検知率や防御率以外にも、Cybereasonが評価されているポイントがある。今村氏は次の3つを挙げた。
1. では、製品そのものの画面やUIが日本語に対応しており、顧客に製品を提供する前にも日本の様々なメンバーで不具合やユーザインターフェースをチェックしたのち提供する体制も整えているため、詳細な部分まで掘り下げても日本語で表記されるという。また、レポートや製品マニュアルもすべて日本語をサポートしているという。
2. については、「セキュリティ製品は専門的な知識や知見が必要でプラットフォームの画面が複雑な場合が多いが、Cybereasonは直感的にインシデントを表現する設計になっている」と今村氏。何が起きたのかわかりやすく表示されるなど、運用視点を重視した画面設計になっているのでぜひ一度使ってみてほしいという。
3. は先述の1クリックで複数台の端末へ一括対応ができ、対応時間を短縮できるというものだ。それに加え、MDRサービス(SOC)も提供しており、運用も任せることができる。「MDRなどの監視サービスまで一貫して提供しているEDRメーカーはそう多くない」と今村氏は胸を張る。
