ランサムウェア被害が拡大 アンチウイルスソフトだけでは限界に
サイバー空間における脅威は、年々勢いを増している。令和2年下半期から2年ほどでランサムウェア被害の報告件数は5倍以上に上り、その対象は企業の規模や業種に限らず広がっている。さらに復旧までに要した期間は1週間以上と、その間事業が停滞することを鑑みると深刻な問題だ。
復旧期間が長くなる理由として、富田氏は「ほとんどの企業でバックアップを取得していたものの、実際には復旧データとして活用できないケースが多い。バックアップが同じネットワーク上に保管されており、犯人によるアンロックや削除ができるためだ」と説明する。本来は、ネットワークから切り離したところに保管することが望ましいが、コストや手間、時間がかかるだけに現実的ではないというわけだ。
なお、侵入の多くはVPN機器からが6割以上を占め、次いでリモートデスクトップから(19%)、メールや添付ファイル(9%)となっている。以前はメールが多かったもののリモートワークの普及により、VPNやデスクトップツールが狙われやすくなってきた。当然ながらパッチによる対策や、ID/パスワードの管理も必須、その上で多くの企業がアンチウイルスソフトを導入している。それでも9割以上が検知できていない状況にあったという。これを受けて富田氏は「もはやすべての脅威を防ぐことは不可能。“侵入される前提”でXDRやEDRなどによる、“侵入後の対策”を考える必要がある」と強調する。
続いて富田氏は、「セキュリティ侵害の発生から検知までに要した日数の中央値の推移」[1]を提示。それによると全世界で16日、APACで33日を要しており、ランサムウェアによる侵害になると18日、ランサムウェア以外で60日と大きく差がついた結果となっている。つまり、ランサムウェアはデータを暗号化した直後に脅迫してくるために検知は早い。しかし、一般的なマルウェアにおいては侵入後に長期間検知できず被害を受け続けることになる。侵入した脅威をいかに早く検知するか、これが侵入後対策の第一ステップになるというわけだ。
[1] 出典:『M-Trends 2023 レポート』(Mandiant、2023年5月)
マルウェア侵入後の対策 初手は「エンドポイントの行動監視」
それでは、前述したような脅威にどのように対応していくべきなのか。そもそもセキュリティ製品が大量に提供されているのにも関わらず、脅威の検知が難しいのはなぜなのか。富田氏はその理由として、まず「①正常トラフィックとの識別が難しいこと」を挙げる。正規ユーザーやツールの悪用により「②正規運用に紛れ込んで攻撃行動が行われていること」も一因だ。そして「③検知・防衛回避の高度なテクニック」、脆弱な設定やアプリケーションなど「④防御の死角」があることも大きい。
そこでまず必要なのが、EDRやXDRなどを用いた“エンドポイントの詳細な行動監視”だ。従来のアンチウイルスソフトはファイルレベルでの検知に限定されているが、EDR/XDRは「脅威ファイル検知」はもちろん、「振る舞い検知」により細かく監視していく。たとえば、富田氏が所属するSentinelOne(以下、センチネルワン)の「Singularity XDR」は、怪しい振る舞いとは何かを「脅威インテリジェンス」として学び・蓄積し、それに基づいて検知した脅威を自動的に隔離し、復旧するまでを一気通貫で行う。
このとき鍵となる「振る舞い」の判断について、富田氏は「MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)」と呼ばれる、世の中で観測されている攻撃テクニックを集め、分類されているナレッジベースに基づいていると紹介。これらに記載されている「振る舞い=脅威」をどこまで検知できるかが“EDR/XDR選定のポイント”になると指摘する。なお、MITRE ATT&CKでは侵入から攻撃を回避して、ネットワークを移動し、ターゲットからデータを窃取・暗号化するといった一連の手順・テクニックも例示されている。
富田氏は「その中でも『攻撃回避のテクニック』(上図、水色の囲み部分)が非常に多く、それだけを見ても、いかに攻撃者が回避テクニックを保持しているかがわかる。こういったテクニックを分析して、正しく攻撃行動を検知できるかが製品選びの重要なポイントだ」と語った。
