ランサムウェア攻撃を検知して自動で中断 Microsoft DefenderにXDRの新機能：セキュリティニュースアラート

MicrosoftはMicrosoft Defender for Endpointにランサムウェアなど人が操作するサイバー攻撃を自動で早期に中断するXDRの新機能を実装した。

[後藤大地，有限会社オングス]

　Microsoftは2023年10月11日（現地時間）、EDR（Endpoint Detection and Response）製品「Microsoft Defender for Endpoint」に、ランサムウェア攻撃といった人が介在するタイプのサイバー攻撃を早期の段階で自動的に中断するXDR（Extended Detection and Response）の機能を追加した。デバイスをMicrosoft Defender for Endpointにオンボードするだけでこの機能を利用できる。

MicrosoftはMicrosoft Defender for EndpointにXDR機能を追加した（出典：MicrosoftのWebサイト）

サイバー攻撃を自動中断するXDR機能　既に数千台の成果

　今回実装されたサイバー攻撃の自動中断機能は、アイデンティティーやエンドポイント、電子メール、SaaSといった「Microsoft 365 Defender」のワークロードで収集したシグナルを利用する。あるデバイスでサイバー攻撃を検知して中断した場合、企業内の他の全てのデバイスに対しても同様の変更が適用されるため、予防策としても有効だ。

　サイバー攻撃の自動中断機能の対象となったデバイスでは、インバウンドやアウトバウントの通信を即座に遮断して封じ込めが実行される。デバイスのユーザーが最高権限の許可レベルを持っており、セキュリティコントロールの対象外になっている場合でも制限が課せられる仕組みになっているため、脅威の横展開（ラテラルムーブメント）を防止できる。

　ランサムウェアのオペレーターは正規のユーザーを装ってシステムに侵入して行動するケースもあるが、今回の新機能はそうしたサイバー攻撃者も検出して隔離できるという。

　Microsoftは2022年から同機能のプレビュー版を企業に展開しており、「既に大きな成果を挙げている」と説明している。2023年8月以降、BlackByteやAkiraを含むハッカーグループ、さらには雇われたレッドチームによって実行されたランサムウェアキャンペーンから6500台以上のデバイスが暗号化を回避したという。