製品とサービス 製品とサービス

Sophos Endpoint タンパープロテクションが高度なランサムウェア攻撃を阻止

事実上すべての EDR ソフトウェアに影響を及ぼす、悪意のある署名付きドライバーを使用した新たな攻撃からお客様を保護しました。

** 本記事は、英語記事タイトル の翻訳です。最新の情報は英語記事をご覧ください。**

タンパープロテクション (改ざん防止機能) は、あまり知られていませんが、バックグラウンドで動作する強力な保護機能の 1 つです。この機能は、Sophos Intercept X Endpoint の防御機能が攻撃者によって無力化され、ペイロードが展開されるのを防止します。

先日、Microsoft の正規の Windows Hardware Compatibility Publisher デジタル証明書で署名された悪意のあるドライバーを使用する新しいランサムウェア攻撃をソフォスが特定し阻止した際 (リンク先: 英語)、タンパープロテクションが重要な役割を果たし、脚光を浴びることになりました。この悪意のあるドライバーは、主要な EDR (Endpoint Detection and Response: エンドポイント検出/対応) ソフトウェアが使用するプロセスを主な標的としており、Cuba ランサムウェアの背後にいる攻撃グループとの関連が強く疑われます。

悪意のあるドライバーをゼロから作成し、正規の機関に署名させることは非常に困難ですが、そのようなドライバーは基本的にあらゆるプロセスを問題なく実行できるため、非常に効果的でもあります。

ほぼすべての EDR ソフトウェアはこの新しいドライバーに対して脆弱ですが、幸いなことに Sophos Endpoint のタンパープロテクションによって、保護を無効化しようとする攻撃者の試みは失敗しました。この結果、Sophos Endpoint の他の保護テクノロジーにより、ランサムウェアの攻撃を阻止することができました。ソフォスのインシデント対応エキスパートである Sophos Rapid Response は、このインシデントの無力化に成功しました。また、この調査をきっかけにソフォスと Microsoft の包括的な連携が実現し、この脅威への対処を開始しました。

多層防御の重要性

サイバーセキュリティでは、1 つの保護機能ですべての脅威を阻止することはできません。攻撃ごとに異なる戦術、技術、手順 (TTP) の組み合わせが使用されているため、すべての攻撃に対応できる万能型の保護ソリューションは存在しません。ある攻撃に対して有効な対策が、別の攻撃に対して有効であるとは限りません。

防御を最適化するには、複数の高度なセキュリティ機能を備え、各機能が高度な攻撃に対して防御の役割を果たす、「多層防御」が必要です。Sophos Endpoint には、次のような保護機能が多層的に組み込まれています。

  • 不正なシステムアクセスを防止する認証情報盗難防止機能
  • 攻撃者が使用するテクニックを阻止するエクスプロイト対策機能
  • 悪意のある暗号化の試みを識別し、ブロックするランサムウェア対策機能
  • 改ざん防止機能

複数の保護テクノロジーを組み合わせることで、お客様の防御を最適化することができます。ソフォスの防御能力の質の高さ、そして多層防御の威力は、脅威の 99.98% を事前に阻止すること (AV-TESTの平均スコア)、最近では エンドポイント保護に関する SE Labs のレポートにおいて満点を獲得したことからも証明済みです。

さらに、市場をリードする 24 時間 365 日対応の Managed Detection and Response (MDR) サービス Sophos MDR の担当者は、これらの防御層で生成される高品質のシグナルを利用して、被害が発生する前に攻撃を迅速に特定、調査、対応します。

ソフォスのアカウントヘルスチェックでタンパープロテクションが有効であることをご確認ください

ソフォスのアカウントヘルスチェックを実施することで、Sophos Endpoint EDR とサーバー保護をご利用のお客様は、保護対象であるデバイスの設定に関する問題を迅速に特定し、対処できます。Sophos Central プラットフォームでソフォスのセキュリティ製品を管理するすべてのお客様が利用でき、次のような数多くの重要なチェックを実行します。

  • ソフトウェアの割り当て – デバイスに適切なソフトウェアがすべて割り当てられているか?
  • 脅威ポリシー – ポリシーでは推奨設定が使用されているか?
  • 除外項目 – 深刻な脅威を引き起こす除外項目はないか?
  • 改ざん対策 – コンピューターやサーバーの改ざん防止機能が無効化されていないか?

新たにリリースされた「自動修正」機能により、IT チームはすべてのデバイスのタンパープロテクションを簡単に有効化できます。つまり、わずか数回のクリックでセキュリティポスチャが向上します。

Sophos Central のメインナビゲーションパネルからアカウントヘルスチェックにアクセスし、直感的なダッシュボードを使用して問題を修正します。

推奨設定は、ソフォスを新規導入する際に必ず自動的に適用されますが、その後実行されるデバイスの追加や削除、チームメンバーの変更、異なるソフトウェアサブスクリプションの購入などにより、問題が発生する可能性があります。正常な環境を維持するためには、少なくとも 3 か月に 1 回はヘルスチェックを見直すことをお勧めします。

コメントを残す

Your email address will not be published. Required fields are marked *