“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう:半径300メートルのIT
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。
トレンドマイクロは2024年のサイバーリスク動向を総括するレポートを公開しました。これによると、日本の組織が抱えるサイバーリスクとして「脅威」「脆弱(ぜいじゃく)性」「資産」といった構成要素それぞれに課題があり、それらに自覚的ではない、もしくは放置していることが、組織のインシデントにつながるとのことです。
このレポートを解説する記者発表の中では、「脆弱性」に対するリスクの例として、2019年ごろから現在まで続いているECサイトを標的にした攻撃キャンペーン「Water Pamola(ウォーターパモラ)」が取り上げられています。
Water Pamolaは被害期間が非常に長く、被害に気が付かれにくいこともあり、なかなか根絶に至っていません。さらにこの攻撃で使われていた脆弱性についても、多くのセキュリティベンダーや機関によって積極的に注意喚起されていたにもかかわらず、企業の対応は進んでいないのが実態です。
トレンドマイクロはこれらへの解決策として、アタックサーフェスマネジメント(ASM)の考え方を適用し、リスクを把握して対処することを推奨しています。ほんの少し前までは、解決策としてはEDR(Endpoint Detection and Response)がオススメされていた気がするので「ASMというバズワードを推したいのかな?」と邪推してしまいます。
ただ、よくよく考えてみると、この流れはある意味「われわれの対策の方向性が間違っていなかった」ことを指しているとも考えられます。つまりEDR製品が企業に普及し、生半可の方法では攻撃が成立しなくなったと捉えた方が前向きかもしれません。サイバー攻撃者は手法を変えざるをえず、結果としてセキュリティベンダーに変化を与えた可能性がありますね。
これは決して「EDR不要論」というわけではなく、アタックサーフェスマネジメントはEDRとは異なる次元のお話であり、両方とも必要なものだということです。
攻撃者の最新トレンドは“EDR回避” これを実現する技術的手法とは?
個人的に気になっているのは、EDRの“現在地”です。トレンドマイクロは実際に脅威アクターの間で使われている「対EDR」に向けた攻撃手法をまとめています。これを読むと、何とも想像を超えたやり口であり、EDRを使っている組織は目を通しておいた方がよいと思いました。
トレンドマイクロの記事ではランサムウェアグループ「RansomHub」が「EDRKillShifter」を使ってEDRやアンチウイルスの機能を無効化する手法をまとめている(出典:トレンドマイクロのWebサイト)
この記事は、攻撃者がどのようにして“天敵”となったEDRを回避するかを、技術的にブレークダウンする内容です。多少込み入っていますが、実際のランサムウェアによる攻撃は単に「迷惑メールに添付したファイルを実行させて、それがシステムを暗号化する」というものではなく、段階を踏んで実行されます。
攻撃者はバッチファイルを段階を踏んで実行し、内部コマンドを悪用しながら、痕跡を残さないように一つ一つのセキュリティ機構をオフにしていきます。
問題なのは、私たちが頼りにしているEDRを停止させる方法です。これにはEDRKillShifterというツールが使われています。これは脆弱性のある正規ドライバを導入し、それを経由してEDRをはじめとするアンチウイルス関連のアプリケーションを停止させます。
この記事では、EDRKillShifterが停止させるアプリケーション名の一覧も付記されています。そこにはトレンドマイクロ以外にも多くのベンダーが関連していそうなファイル名が対象になっています。
EDRはここまで、攻撃者に忌み嫌われる存在になったのかと興味深く読みました。もちろん、攻撃時にここまで派手に動かざるを得ないわけですので、どこかに痕跡は残るはずです。それを、しっかりと予兆として把握し、情報窃取/暗号化といった最終ゴールの前までに止めることができればわれわれの勝利です。その意味では、EDRを活用しつつ、さらなる対策がもう一つ上の次元で実行されている必要があるというのは納得できるのではないでしょうか。そして、EDRが万能ではないことも、理解ができると思います。
恐らくですが、その一つ上の次元でやるべき対策は、購入できるものではないようにも感じます。そこで必要なのはやはり「組織力」だったり「ガバナンス」であり、「人」ではないでしょうか。脆弱性はパッチ適用が必要ですが、パッチ適用に至るまでのプロセスこそが難しいものです。重要な操作には認証が必要となっているはずですが、そもそもの特権管理がなされていなければ効果はありません。2025年は、ソリューションの強化ととともに「人」の強化をし、組織そのものが攻撃者の“天敵”になれることを願っています。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。
“ランサムウェア戦国時代”到来? 2つの事件から見る攻撃者ビジネスの変化
RaaSをはじめとしたランサムウェアの高度化は大きな問題だ。2024年にランサムウェアのエコシステムに起きた“象徴的な2つの事件”を取り上げ、攻撃者たちのビジネスモデルや意識がどのように変化したかを解説しよう。
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。