復旧にフォーカスした新たなランサムウェア対策アプローチ「Halcyon」の機能を徹底解説：業務停止時間を最小限に

ランサムウェアの進化によってEDRやバックアップだけでは被害の最小化が困難になっている。そんな中で注目されているのが、復旧まで視野に入れた新たなセキュリティコンセプト「RDR」だ。この概念を落とし込んだ製品技術を解説する。

PR／ITmedia

PR

　EDR（Endpoint Detection and Response）の回避やバックアップデータの暗号化など、ランサムウェア攻撃手法の高度化に伴い、従来の対策で被害を完全に防ぐのは困難になりつつある。サイバー攻撃が急速に進化する今、これまでの枠にとらわれない新たな対策が必要だ。

　そのような中、感染を前提としたアプローチとして「RDR」（Ransomware Detection and Recovery）が注目されている。RDRとは、これまでEPP（Endpoint Protection Platform）が担ってきた、ランサムウェアに対する防御といったリスクコントロールやEDRによる検知に加えて、被害を最小化するダメージコントロールの領域を強化するため、感染後の迅速な復旧を目指す新しいカテゴリーのセキュリティ対策だ。

　前編では、国内におけるランサムウェア被害の実態を整理し、EDR製品の検知を回避する高度な技術やバックアップデータを狙った攻撃といった新しい攻撃手法について解説した。後編となる本記事では、RDRの考え方を落とし込んだランサムウェア対策ソリューション「Halcyon」（ハルシオン）の技術や機能について詳述する。RDRのコアベネフィットとなる「暗号化の検知と復元」「全体復旧までの支援」のほか、ランサムウェア対策に特化した「機械学習（ML）を含むAIを活用した多層防御」「EDRの防衛・補完」「データ流出防止」の有効性を紹介する。

暗号化されたデータを本当に自力で復号できる？　検証で分かった画期的技術

日立ソリューションズの楢崎真介氏（セキュリティサイバーレジリエンス本部 エンドポイントセキュリティ部 グループマネージャ）

　日立ソリューションズの楢崎真介氏は「ランサムウェア対策製品の多くは、防御や検知に重点を置いています。一方Halcyonは、攻撃を受けることを前提にして『いかに迅速に復旧するか』にフォーカスした製品です」と話す。

　製品コンセプトを体現する機能の一つが「暗号化の検知と復元」だ。これまで、ランサムウェアによって暗号化されたデータは、攻撃者が提示する復号鍵で復旧するかバックアップから復旧するかなど、方法が限られていた。しかしHalcyonはこの常識を覆す技術を実現した。

　「Halcyonはランサムウェアによる暗号化処理を常に監視しており、その過程でメモリにある暗号鍵や関連情報を検知、捕捉、保存します。それを基にHalcyon社のランサムウェア専門家が復号ツールを作成することで、攻撃者に復号を依頼せずにデータを復旧できます」（楢崎氏）

　しかし暗号化されたデータを本当に復号できるのかと疑問に思う読者もいるだろう。これを払拭（ふっしょく）するため、日立ソリューションズはHalcyonの暗号鍵の捕捉性能を検証した。

　「その結果、検証に利用した主要なランサムウェアファミリー^※1全てで暗号鍵の捕捉に成功しました。実用面でも十分な効果が期待できます」と楢崎氏は力説する。

※1 共通のコードベースや特徴を持つランサムウェアのグループ。

Halcyonの暗号化の検知と復元の仕組み（出典：日立ソリューションズ提供資料）《クリックで拡大》

　この暗号鍵の捕捉技術の価値は極めて大きい。ホワイトハッカーとして活動し、2024年11月には、「Cybersecurity Woman of Japan 2024 Awards」^※2にて、「Cybersecurity Woman Hacker of Japan 2024」を受賞した日立ソリューションズの青山桃子氏は次のように語る。

※2 国際団体United Cybersecurity Alliance主催。サイバーセキュリティの分野で活躍する女性を称賛・支援することを目的として設立された。

日立ソリューションズの青山桃子氏（セキュリティサイバーレジリエンス本部 マネージドセキュリティサービス部 チーフセキュリティアナリスト）

　「バックアップによる既存のランサムウェア対策には限界があります。一方で攻撃者に身代金を払ったとしても復号鍵を渡される保証はありませんし、復号鍵で復旧に成功しないケースもあります。身代金を支払うことはランサムウェアの攻撃者グループの活動支援とも捉えられます。こうした厳しい実態がある中で、Halcyonを利用して自力で復旧する力を付けるのは事業継続の観点からも効果的です」

　この技術を支えているのが、Halcyon社のランサムウェア対策の専門家集団だ。先端セキュリティ企業出身のエンジニアが数百万の攻撃パターンを研究してリバースエンジニアリングによってランサムウェアの構造を解析することで、こうした技術を開発したという。ランサムウェア被害からの迅速な復旧を支援するため、RDRチームによるサポート体制も整えている。

　「RDRチームは、暗号化技術やマルウェア解析、脅威インテリジェンスに精通したメンバーで構成されており、お客さまの環境を24時間365日体制で監視しています。感染が確認されると、ランサムウェアの種類やファミリーを特定するとともに、環境に潜んだ脅威アクターの排除まで支援します」と楢崎氏は説明する。

　具体的には、感染の兆候をリアルタイムに検知して攻撃のチェーンを遮断。お客さま側のセキュリティチームに速やかに通知し、個別の攻撃に最適化された復旧ツールを短時間で提供する。現在は海外のRDRチームが対応しているが、今後はHalcyon社の日本法人を設立して日本語による対応も予定している。日立ソリューションズもHalcyon社のRDRチームと緊密に連携して復旧支援に当たる。

暗号化検知だけではない　EDRを回避する攻撃にどう対処する？

　Halcyonの大きな強みは暗号化の検知と復元だが、ランサムウェアがデータの暗号化を実行する前に検知・防御する機能も優れている。EPP・EDR製品が持つシグネチャベースの検出や振る舞い検知、MLを含めたAIによる検知に加えて、Halcyonの独自技術を活用したデセプション（おとり）機能がある。

　EDR製品を回避したり無効化したりするランサムウェアが登場した今、EDRの停止を見越した補完機能を有している点もHalcyonのポイントだ。EPP・EDRとHalcyonの機能差異は以下の通りだ。

既存のEPP／EDR製品とHalcyonの機能差異（出典：日立ソリューションズ提供資料）《クリックで拡大》

　MLを含めたAIによる多層防御機能には、ランサムウェアの挙動解析に特化したAIモデルを採用。暗号化や権限昇格といった異常な振る舞いを識別して、実行前にブロックする。脆弱（ぜいじゃく）性を悪用する兆候もAIで分析して攻撃チェーンの初期段階での遮断を可能にしている。シグネチャベースの対策では防ぎ切れなかったゼロデイ攻撃にも対応可能だ。

　ランサムウェア攻撃者はシステム内の“重要そうなデータ”に目星を付けて重点的に攻撃を仕掛ける。デセプション機能は端末がすでに暗号化されているかのように見せかけたりサンドボックスであるかのように装ったりして攻撃を回避するものだ。青山氏は「デセプションは攻撃者の視点を防御に生かしている良いコンセプトの機能だと思います」と述べる。

　「個人情報が含まれたファイル」が存在するように見せかけたハニーポットを仕掛けてランサムウェアを誘導し、検知につなげる仕組みも持っている。

　「日立ソリューションズはHalcyonの事前防御機能も検証しました。その結果、検証に利用した10種類以上のランサムウェアファミリー全てに対して侵入を検知・防御できました」（楢崎氏）

　Halcyonは「EDR補完機能」というEDR製品のプロセス停止を検知する機能を備えている。脆弱性を含むドライバの悪用を防御し、EDR製品がシャットダウンされると即座に管理者に通知する。バックアップデータの削除防止機能もある。ランサムウェアが「Windows」の「Volume Shadow Copy Service」（VSS）を削除しようとすると、それを検知して回避する。これによってバックアップデータを暗号化する攻撃を防ぐという仕組みだ。

　ランサムウェアによる暗号化だけでなく、情報の不正持ち出しや外部との不審な通信といったデータ流出の兆候に対応するデータ流出防止（DXP）機能も用意されている。大量のデータアップロードやネットワークの異常通信を検知して、ランサムウェアが攻撃と同時に実行する情報窃取の動きを察知できる。

　データ流出のみを目的とするノーウェアランサムや暗号化と流出の両方を狙う二重脅迫型ランサムウェアに対しても有効だ。日立ソリューションズによる検証では、大量データを意図的に流し込むテストを実施し、早期にブロック機能が発動することが確認されている。

評価から導入まで、日立ソリューションズの伴走支援

　Halcyonの価値を特に発揮するのが、電気やガス、水道、金融、医療などの経済安全保障に関係するミッションクリティカルな企業や製造業だ。社会インフラを担う企業のシステム停止は社会への影響が大きい。Halcyonは迅速な復旧機能を提供し、企業の事業継続性を大幅に向上させる。

　2025年8月現在、さまざまな国や地域の450社以上がHalcyonを導入している。開発元のHalcyon社は2021年設立の企業だが、2024年にユニコーン企業（評価額10億ドル）入りを果たすなど、業界からの注目度も高い。

　日立ソリューションズはHalcyonの取り扱いを2025年7月に開始した。楢崎氏によれば、社会インフラを担う企業や過去にランサムウェア被害を受けた企業などからすでに多数の問い合わせが寄せられているという。

　「日立ソリューションズは、Halcyonの導入を検討する企業に包括的な伴走支援をするサービスを提供します。評価方針の策定から始まり、お客さまの課題、気になる機能、本番稼働の想定範囲、評価の達成条件などを詳細に検討。その後、評価専用環境の整備、ライセンス調達、製品導入といった準備段階を経て、実際の評価を実施します」（楢崎氏）

日立ソリューションズは製品評価の伴走支援を提供している（出典：日立ソリューションズ提供資料）《クリックで拡大》

　この製品評価の伴走支援を利用することで、ランサムウェア検体の検知やブロック、データ流出の防止、暗号化されたファイルの復号というシナリオを中心に、Halcyonの「事前阻止」「被害拡大の防止」「迅速な復旧」の効果を実機で確認できる。

HalcyonのRDRという新たなアプローチは、企業のサイバーレジリエンス強化に大きく貢献するソリューションと言えるだろう。

　「高い事業継続性の実現に向け、ランサムウェア攻撃による業務停止時間の飛躍的な短縮が必要なお客さまにおすすめです」（楢崎氏）

前編：“EDRだけでは守れない時代”に備えよ　次世代のランサムウェア防衛戦略を解説

EDRの強制停止や暗号化されるバックアップなどの新たなランサムウェア攻撃が登場した今、従来の“侵入を防ぐ”という防御アプローチだけでは十分とは言えなくなっている。「防御」から「復旧」へと軸足を移す、新しいセキュリティコンセプトと具体策を解説する。

前編はこちら