Contiの解析から判明した“攻撃者エコシステムの実態”と“EDRの限界”：Itmedia Security Week 2023秋 イベントレポート（2/2 ページ）

[吉田育代，ITmedia]

EDRの原理と限界

　このような攻撃にはEDRで対処する手法が昨今の主流だ。「ただ、これも盤石とはいえない」と黒米氏は指摘する。Windows環境の場合の一般的なEDRの動作は下図のようなものだ。Windowsサブシステムを介してログインプロセスや認証プロセスなどの挙動を監視する。

EDRの動作原理（出典：黒米氏の講演資料）

　EDRはいわば「アプリケーションやマルウェアのOSへのアプローチを見張っている中間管理職のような存在」だ。マルウェアが特定のプロセスに干渉したいといった処理をサブシステムに対して発行しようとすると、EDRはそこでブロックできる。

　しかしマルウェアも対抗策を練っており、EDRの監視を外そうとしたり、EDRが監視していないシステムプロセスを直接呼び出したりといった試みをする。最近のEDRはこのあたりの対策も非常に進んではいるのだが、要するに“いたちごっこ”なのである。

ユーザー側で可能な努力とは

　黒米氏は「そもそもエンドポイントセキュリティ対策費用は高くつく」と話す。ある試算によると1〜2万人規模の企業では、OSアップデートの機構を設けるのに100万ドルかかり、そこにEDRを導入したり、SIEM（Security Information and Event Management）や脆弱性管理と連携させたりといったことを考えていくとさらにコストは跳ね上がるという。

　EDRの導入そのものにも理想と現実がある。エージェントを端末だけでなくサーバにも入れた方がいい、ルールを絶え間なく更新した方がいい、ふだんの挙動も記録した方がいい、監視体制を確立した方がいい、と分かってはいるが、現実には、そこまで予算がない、セキュリティを担当するメンバーも足りないといったことに悩むことになる。そうした中で、ユーザー側でできる努力としてはどのようなものがあるだろうか。

　黒米氏は「EDRが高くて入れられないというなら、イベントログを記録するようにしましょう。Windowsシステムサービスの『Sysmon』を使えば簡易EDR相当のログが記録できます。Contiなどで使われるリモートプログラム実行ツール『PsExec』の実行検知も可能です」と話す。

　「EDRは入れたけれどもそのままになっている、というなら、まず多要素認証やセッション時間制限を設けるなどして管理画面が侵害されないようにしましょう。また、EDRでは検知とブロックが別々の設定になっていることが大半ですが、ブロックする設定を有効化して、それを事象に適切に判断する人を設けましょう。さらに、少なくともEDRが入っているエンドポイントに関しては、検知ロジックが行きわたるようにしましょう。日頃の情報収集も重要です。JP-CERTの注意喚起に目を通し『どの脆弱性を突く攻撃が流行っているのか』と気付きを得ることが最初の一歩です」（黒米氏）

　同氏は「最後は割り切りも肝心。EDRにも誤検知があります。それで業務停止になっても『杞憂でよかった』で済む風土を醸成しましょう。未知の攻撃は防ぐことができないと考え、適切に対処できる組織づくりをめざしましょう」とメッセージした。