全2423文字
PR

攻撃の発覚を避けようと工夫する最近のマルウエア。それに対抗するEDRは、端末の多様な情報を収集・解析。攻撃のわずかな痕跡や振る舞いも見逃さない――。その仕組みを解剖する。

 最近のマルウエアは非常に高度な手法を使ってパソコンへの攻撃を隠し、発覚を避けようとしている。マルウエア本体を小型化し、感染先の端末に元からある正規のプログラムを流用するなど、隠蔽の手口は洗練される一方だ。

 その代表例が2019年末から日本に甚大な被害をもたらした「エモテット(Emotet)」だ。このマルウエアはOfficeファイルのマクロを使ってパソコンに感染する。マクロがWindows標準搭載のコマンドラインツール「PowerShell」を起動し、PowerShellコマンドによってEmotet本体をメモリー上にダウンロードして実行する。パソコンのハードディスクにはマルウエアの実行に必要な最低限のファイルしか置かないため、ファイルを分析する従来のウイルス対策ソフトで検知するのは困難だ。

 2020年6月にホンダを襲ったとされるランサムウエア「Ekans」の仕組みも高度だ。本来の攻撃であるファイルの暗号化に先立ち、Windowsが備えるネットワーク設定ツールを使って正規のファイアウオールの設定を変え、端末の通信を妨害していた。これも攻撃の発覚を遅らせる仕組みだ。

 たゆまぬ“研究”の形跡が見られる現代のサイバー攻撃。対抗するには「被害に遭った端末を速やかに発見して対処するのに尽きる」。アクセンチュアでユーザー企業のセキュリティー監視チームなどを支援する、テクノロジーコンサルティング本部セキュリティグループの坂根康之マネジング・ディレクターはこう指摘する。

2つの手法でマルウエアを検知

 対策の要となるのがEDRによって攻撃を「検知」する機能だ。マルウエアが端末の内部に侵入したのか、さらにシステムに感染したのか。それをEDRは主に2種類の手法で検知する。

図 EDRにおける攻撃の「検知」と「封じ込め」
図 EDRにおける攻撃の「検知」と「封じ込め」
エージェントと解析サーバーが連携して攻撃の痕跡を解析
[画像のクリックで拡大表示]

 1つは、端末のイベントログなどから感染の「痕跡」を見つけ出す手法だ。現実社会の警察官が、事件現場に残された数々の証拠を分析して犯行を特定していくように、EDRはマルウエアの被害に遭った端末や感染範囲などを突き止める。

 EDRは端末に導入したエージェントを使い、端末の様々な情報を収集して記録する。対象とする情報はファイルの作成やプロセスの起動、レジストリーの変更など多岐にわたる。防犯カメラで人の動きを記録するのと同様、端末の挙動を記録し続けている。