“EDR回避”は2025年の最新トレンド？ 最新の攻撃手法を深堀しよう：半径300メートルのIT

ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。

[宮田健，ITmedia]

　トレンドマイクロは2024年のサイバーリスク動向を総括するレポートを公開しました。これによると、日本の組織が抱えるサイバーリスクとして「脅威」「脆弱（ぜいじゃく）性」「資産」といった構成要素それぞれに課題があり、それらに自覚的ではない、もしくは放置していることが、組織のインシデントにつながるとのことです。

「脅威」「脆弱性」「資産」というサイバーリスクを放置することが大きなインシデントにつながりかねない（出典：トレンドマイクロ記者発表会資料）

　このレポートを解説する記者発表の中では、「脆弱性」に対するリスクの例として、2019年ごろから現在まで続いているECサイトを標的にした攻撃キャンペーン「Water Pamola（ウォーターパモラ）」が取り上げられています。

　Water Pamolaは被害期間が非常に長く、被害に気が付かれにくいこともあり、なかなか根絶に至っていません。さらにこの攻撃で使われていた脆弱性についても、多くのセキュリティベンダーや機関によって積極的に注意喚起されていたにもかかわらず、企業の対応は進んでいないのが実態です。

ECサイトにおける情報漏えい事件は増え続けているが、その背後にある数値は重い（出典：トレンドマイクロ記者発表会資料）

　トレンドマイクロはこれらへの解決策として、アタックサーフェスマネジメント（ASM）の考え方を適用し、リスクを把握して対処することを推奨しています。ほんの少し前までは、解決策としてはEDR（Endpoint Detection and Response）がオススメされていた気がするので「ASMというバズワードを推したいのかな？」と邪推してしまいます。

　ただ、よくよく考えてみると、この流れはある意味「われわれの対策の方向性が間違っていなかった」ことを指しているとも考えられます。つまりEDR製品が企業に普及し、生半可の方法では攻撃が成立しなくなったと捉えた方が前向きかもしれません。サイバー攻撃者は手法を変えざるをえず、結果としてセキュリティベンダーに変化を与えた可能性がありますね。

　これは決して「EDR不要論」というわけではなく、アタックサーフェスマネジメントはEDRとは異なる次元のお話であり、両方とも必要なものだということです。

攻撃者の最新トレンドは“EDR回避”　これを実現する技術的手法とは？

　個人的に気になっているのは、EDRの“現在地”です。トレンドマイクロは実際に脅威アクターの間で使われている「対EDR」に向けた攻撃手法をまとめています。これを読むと、何とも想像を超えたやり口であり、EDRを使っている組織は目を通しておいた方がよいと思いました。

トレンドマイクロの記事ではランサムウェアグループ「RansomHub」が「EDRKillShifter」を使ってEDRやアンチウイルスの機能を無効化する手法をまとめている（出典：トレンドマイクロのWebサイト）

　この記事は、攻撃者がどのようにして“天敵”となったEDRを回避するかを、技術的にブレークダウンする内容です。多少込み入っていますが、実際のランサムウェアによる攻撃は単に「迷惑メールに添付したファイルを実行させて、それがシステムを暗号化する」というものではなく、段階を踏んで実行されます。

　攻撃者はバッチファイルを段階を踏んで実行し、内部コマンドを悪用しながら、痕跡を残さないように一つ一つのセキュリティ機構をオフにしていきます。

　問題なのは、私たちが頼りにしているEDRを停止させる方法です。これにはEDRKillShifterというツールが使われています。これは脆弱性のある正規ドライバを導入し、それを経由してEDRをはじめとするアンチウイルス関連のアプリケーションを停止させます。

問題のEDRKillShifter（出典：トレンドマイクロのWebサイト）

　この記事では、EDRKillShifterが停止させるアプリケーション名の一覧も付記されています。そこにはトレンドマイクロ以外にも多くのベンダーが関連していそうなファイル名が対象になっています。

リスト（一部）には、EDRKillShifterが対象とするファイル名がズラリと並ぶ（出典：トレンドマイクロのWebサイト）

　EDRはここまで、攻撃者に忌み嫌われる存在になったのかと興味深く読みました。もちろん、攻撃時にここまで派手に動かざるを得ないわけですので、どこかに痕跡は残るはずです。それを、しっかりと予兆として把握し、情報窃取／暗号化といった最終ゴールの前までに止めることができればわれわれの勝利です。その意味では、EDRを活用しつつ、さらなる対策がもう一つ上の次元で実行されている必要があるというのは納得できるのではないでしょうか。そして、EDRが万能ではないことも、理解ができると思います。

　恐らくですが、その一つ上の次元でやるべき対策は、購入できるものではないようにも感じます。そこで必要なのはやはり「組織力」だったり「ガバナンス」であり、「人」ではないでしょうか。脆弱性はパッチ適用が必要ですが、パッチ適用に至るまでのプロセスこそが難しいものです。重要な操作には認証が必要となっているはずですが、そもそもの特権管理がなされていなければ効果はありません。2025年は、ソリューションの強化ととともに「人」の強化をし、組織そのものが攻撃者の“天敵”になれることを願っています。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。