アンチウイルス業界の基盤は、McAfeeやAvastなどの企業が最初のアンチウイルス製品をリリースした1980年代に築かれました。

その当時、「マルウェア」や「コンピュータウイルス」という用語も誕生しました。今後40年にわたり、攻撃者は現在見られる粗雑なソフトウェアと高度なソフトウェアを幅広く組み合わせたマルウェアを開発すると思われます。現在、10億を越える新しいマルウェアサンプルが毎年分類されています。

ターゲットを絞ったサイバースパイキャンペーンから、ソーシャルエンジニアリング戦術に依存するRAT、ファイルレスマルウェア攻撃まで、悪意のあるペイロードは、テクノロジー(特にセキュリティツール)で対応する限り変化し続けます。

ランサムウェアファイルレスマルウェアは、レガシーアンチウイルスで立ち向かうことができない最も一般的で憂慮されるタイプのマルウェアの2つです。

  • ランサムウェアは、他のマルウェアとは異なり、元来姿を隠そうとはしません。できる限り多くのデータを迅速に暗号化するため、多くの場合すぐに被害が発生し、ファイルを取り戻すための身代金を要求されます。さらに、マルチステージランサムウェアへの移行もあり、それが環境に残って、ランサムウェアを実行させる前に、できる限り多くの貴重なデータを盗み出します。
  • ファイルレスマルウェアは、.NET、WMI、およびPowerShellなどのネイティブオペレーティングシステムに依存し、正常な動作に紛れて悪意のあるアクティビティを実行します。この方法は、レガシーアンチウイルスを回避するために作成されました。

次世代アンチウイルス(NGAV)とは何か、それが従来のアンチウイルスより効果的なのはなぜか?

次世代アンチウイルス(NGAV)は、従来のアンチウイルスと振る舞いベースの防御を組み合わせて、レガシーアンチウイルスのみより、捉えにくい脅威を検知し、阻止します。

アンチウイルスと同様に、NGAVも最新の脅威情報で継続的に更新されます。バックグラウンドでスキャンし、これらのインジケータをコンピュータプラットフォーム上のファイルやディレクトリと比較して、不審な一致にラベルを付けます。

それによって、ソフトウェアがこれらのプログラムの実行を阻止し、自動的に隔離または削除します。


David J Biancoによる「痛みのピラミッド」 – TTPは防御が最も困難

ただしこれは、ほとんどの正規のビジネスオペレーションと同じくらい入念に調整された現代の攻撃には十分ではありません。ファイルレスマルウェアなどの脅威に対しては、IOCは存在しないか、環境によって変化する可能性があるためアンチウイルスは大幅に後れを取っています。

それに対してNGAVは、アンチウイルス、振る舞い分析、および機械学習を組み合わせてこれらの脅威に対処します。TTP(戦術、技術、手順)の共通点に注目することによって、NGAVは正規ユーザーから攻撃者をより正確に見つけ出せる、振る舞いベースのアプローチを提供します。

機械学習は、NGAVのランサムウェア対策およびアンチファイルレスマルウェア対策機能に不可欠で、未知の攻撃に対処するためには、既知の不正URLや添付ファイル以上に有益です。要するに、NGAVは従来のアンチウイルスより多く捉えることができます。

NGAVソリューションを評価する方法

最終的に、NGAVの評価は、ベンダーのメッセージ交換の域を超えて、チームまたは信頼の置ける機関によるテストが可能な現実世界に達しています。次のことを考慮します。

  • 疑わしい振る舞いをどのように評価するか
  • 一連の高度な脅威に対してどこまで実施できるか

NGAVは、振る舞いベースの防御の観点を組み込まずに、従来のブロックリスト/承認済みリストアプローチを採用すると限界がでます。WMIやPowerShellなどのツールは、IT管理者に頻繁に用いられていて、ブロックリストには入れられません。

一方、承認済みリストに「良好」なPowerShellアクティビティを入れるには、時間がかかる可能性があります。そのため、NGAVでは、振る舞いベースの防御のために機械学習の活用が極めて重要になります。

高度な脅威に対するパフォーマンス:NGAVの次の一歩は

サイバーリーズンの調査によると、マルウェア技術がサイロに存在することはめったにありません。反対に、結合されることはよくあります。

例えば、悪意のあるマクロが電子メールで配信され、PowerShellなどの正規のツールを使用して、ランサムウェアのような悪意のあるペイロードをダウンロードします。

そのため、MITRE ATT&CKフレームワークに合わせたNGAVは、特に価値があります。MITRE ATT&CKナレッジベースを組み込むことでNGAVは、エンドポイント検知および対処ツールと併せてより効果的に使用できるように設定できます。

NGAVは、企業のできる限り多くのエンドポイント(ラップトップ、デスクトップ、ワークステーション、またはモバイルデバイスを問わず)を保護できる必要があります。

NGAVとEDRの併用

NGAVは防御の最前線にあり、コモディティマルウェアを処理できます。EDRが必要になるのは、より高度な悪意のあるアクティビティ(NGAVを突破したすべて)に対してです。

NGAVは、個々のエンドポイントで脅威を防御することを重視します。EDRはすべてのエンドポイントからデータを収集し、既知の不正行為をNGAVにフィードバックして、防御を向上させます。

NGAVとEDR、およびその他のアイテムとの組み合わせが、エンドポイント保護プラットフォーム(EPP)です。EPPは、エンタープライズセキュリティに統合されたアプローチで、多層構造のプロアクティブな防御を提供します。

最新のランサムウェアがどのように見えて、レガシー防御ソリューションをどのように回避するかの概要は、ランサムウェアを解読したホワイトペーパーを参照してください。

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」

ランサムウェア攻撃は2018年前半に一旦大幅に減少したものの、その後の数年はすさまじい勢いで盛り返しています。身代金の支払いも急増しており、2019年12月には、攻撃者への身代金の平均支払い額は8万ドルを超えました。

昨今の攻撃者は、データの身代金を要求するだけでなく、データを盗んでインターネット上で売却もしています。このことは、攻撃者がランサムウェアを実行しているだけでなく、ネットワーク上にとどまってデータを抜き取り、最終的にランサムウェアを展開しているという傾向を示しています。

このホワイトペーパーでは、最新のランサムウェアがどのような特徴があり、どのように既存のセキュリティ対策を回避しているのかを解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/4806/

ホワイトペーパー「ランサムウェアの解読 〜最新型ランサムウェア攻撃の解説と防止策〜」