** 本記事は、Sophos Endpoint: Industry-leading protection against remote ransomware attacks の翻訳です。最新の情報は英語記事をご覧ください。**
現在、人力によるランサムウェア攻撃の約 60% には、悪意のあるリモートからの暗号化が関与しています。本記事では、この種のランサムウェアの攻撃経路と、業界をリードするソフォスの保護機能について解説しています。
リモートランサムウェアとは
リモートランサムウェアは「悪意のあるリモートからの暗号化」とも呼ばれ、侵害されたエンドポイントが同一ネットワーク上の他のデバイスのデータを暗号化するために使用されます。
人間主導型攻撃では、攻撃者は通常、暗号化したマシンに直接ランサムウェアを展開しようとします。最初の試みが (標的デバイスのセキュリティテクノロジーなどによって) ブロックされた場合でも諦めることはほとんどなく、別のアプローチで何度も攻撃をやり直そうとします。
攻撃者は一度マシンの侵害に成功すると、組織のドメインアーキテクチャを活用して、管理されたドメインに参加しているマシン上のデータを暗号化できます。侵入、ペイロードの実行、暗号化といったすべての悪意のある活動は、すでに侵害されたマシン上で行われるため、最新のセキュリティスタックを迂回できます。唯一のセキュリティ侵害の痕跡 (IoC) は、他のマシンとの間のドキュメントの送受信です。
リモートからの暗号化の 80% は、ネットワーク上の管理されていないデバイスから発生していますが、攻撃者がデバイスに侵入するのを阻止するのに必要な防御が不十分なマシンから発生する場合もあります。
なぜリモートランサムウェアが蔓延しているのか
このアプローチが広く使用されている主な要因は、その拡張性です。たとえ他のすべてのデバイスが次世代エンドポイントセキュリティソリューションを実行していたとしても、管理されていない、あるいは保護が不十分なエンドポイントが 1 つでもあれば、組織全体が悪意のあるリモートからの暗号化にさらされる可能性があります。
さらに悪いことに、攻撃者は多様なランサムウェアの亜種から選択することができます。Akira、BitPaymer、BlackCat、BlackMatter、Conti、Crytox、DarkSide、Dharma、LockBit、MedusaLocker、Phobos、Royal、Ryuk、WannaCry など、さまざまな有名ランサムウェアファミリが悪意のあるリモートからの暗号化をサポートしています。
さらに、ほとんどのエンドポイントセキュリティ製品は、保護されたエンドポイント上の悪意のあるランサムウェアファイルとプロセスの検出に重点を置いているため、今回のシナリオでは効果がありません。リモートからの暗号化攻撃の場合、プロセスは侵害されたマシン上で実行されるため、エンドポイント保護は悪意のある活動に気づけません。
幸いなことに、Sophos Endpoint は業界をリードする CryptoGuard 保護機能を採用しており、悪意のあるリモートからの暗号化に対する強固な保護機能が搭載されています。
Sophos CryptoGuard: 業界をリードするユニバーサルなランサムウェア対策
Sophos Endpoint には、ランサムウェアから組織を保護する複数の保護レイヤが搭載されています。その 1 つが、すべての Sophos Endpoint サブスクリプションに搭載されているソフォス独自のランサムウェア対策テクノロジー「CryptoGuard」 です。
悪意のあるファイルやプロセスだけを探す他のエンドポイントセキュリティソリューションとは異なり、CryptoGuard はプロセスが実行されている場所に関係なく、悪意のある暗号化の兆候についてデータファイルを分析します。このアプローチにより、悪意のあるリモートからの暗号化を含むあらゆる形態のランサムウェアの阻止に絶大な効果を発揮します。悪意のある暗号化を検出した場合、CryptoGuard は自動的にその活動をブロックし、ファイルを暗号化されていない状態にロールバックします。
CryptoGuard は、ファイルが読み書きされる際に、すべてのドキュメントのコンテンツをアクティブに検査し、数理分析を使用して暗号化されているかどうかを判断します。この普遍的なアプローチは業界でも独自のものであり、Sophos Endpoint は、リモートからの攻撃や未知のランサムウェアの亜種など、他のソリューションが見逃しているランサムウェア攻撃も阻止できます。
ファイルの内容を分析することで悪意のある暗号化を検出
悪意のあるコードの検出に焦点を当てるという観点からマルウェアを検査する他のソリューションとは異なり、CryptoGuard は数理アルゴリズムを使用してコンテンツを分析することにより、大量のファイルの迅速な暗号化を検出します。
ローカルおよびリモートのランサムウェア攻撃をブロック
CryptoGuard はファイルのコンテンツに焦点を当てているため、標的のデバイス上で悪意のあるプロセスが実行されていない場合でも、ランサムウェアによる暗号化の試みを検出できます。
悪意のある暗号化を自動的にロールバック
CryptoGuard は、変更されたファイルの一時的なバックアップを作成し、大量の暗号化を検出すると変更を自動的にロールバックします。ソフォスは、攻撃者が避けることで知られている Windows ボリュームシャドウコピーを使用する他のソリューションとは異なり、独自のアプローチを採用しています。修復可能なファイルのサイズや種類に制限がないため、業務の生産性への影響を最小限に抑えられます。
リモートデバイスを自動的にブロック
リモートランサムウェア攻撃では、CryptoGuard は標的のマシン上のファイルを暗号化しようとするリモートデバイスの IP アドレスを自動的にブロックします。
マスターブートレコード (MBR) の保護
CryptoGuard はまた、マスターブートレコードを暗号化する (起動を阻止する) ランサムウェアや、ハードディスクを消去する攻撃からもデバイスを保護します。
CryptoGuard は Sophos Endpoint 独自の機能の 1 つで、Sophos Intercept X Advanced、Sophos XDR、Sophos MDR のすべてのサブスクリプションに含まれています。さらに、この機能はデフォルトで自動的に有効化されており、ローカルとリモートの両方のランサムウェアから組織を完全に保護できます。微調整や設定は不要です。
保護されていないデバイスの検出
無防備なエンドポイントが 1 つでもあると、組織はリモートからの暗号化攻撃にさらされやすくなります。Sophos Endpoint を導入することで、悪意のある暗号化からランサムウェアを強固に保護できます。しかし、そもそもネットワーク上に保護されていないデバイスがあるかどうかを特定するにはどうすれば良いのでしょうか。
そこで役立つのが、Sophos Network Detection and Response (NDR) です。Sophos NDR は、ネットワークトラフィックの不審なフローを監視し、環境内の保護されていないデバイスや管理下にない資産を特定します。
リモートランサムウェア攻撃から組織を強固に保護するため、環境内のすべてのマシンに Sophos Endpoint をインストールし、ネットワーク上の保護されていないデバイスを検出するために Sophos NDR を導入しましょう。
リモートランサムウェア攻撃に対する防御の強化
悪意のあるリモートからの暗号化は、一般的なランサムウェアの手口であり、大半の主要なエンドポイントセキュリティソリューションはその阻止に苦慮しています。Sophos Endpoint を使用していない場合、この種の脅威にさらされている可能性があります。
Sophos Endpoint の詳細と、リモートランサムウェアを含む高度な攻撃に対する Sophos Endpoint を使用した防御方法については、ソフォスのアドバイザーまたはパートナーにお問い合わせください。また、お客様の環境で 30 日間の無料トライアルをご利用いただけます。
リモートランサムウェア (リモート暗号化) に関するホワイトペーパーも、ぜひご覧ください。