• TOP
    • コラム・ブログ
    • なぜEDRだけではランサムウェアを防げないのか ― 攻撃者が狙う“EDRの盲点”と企業が取るべき次の一手

なぜEDRだけではランサムウェアを防げないのか ―
攻撃者が狙う“EDRの盲点”と企業が取るべき次の一手

ランサムウェアによる攻撃は、ここ数年で格段に高度化し、被害件数も依然として高い水準が続いています。攻撃者は標的型攻撃やサプライチェーン攻撃、さらには正規ツールを悪用する高度な手法を使い、企業の防御をすり抜けています。こうした状況では、侵入を前提にした防御が必要です。

その中で、EDR(Endpoint Detection and Response)は重要な役割を果たしています。EDRは端末の動きをリアルタイムで監視し、異常を検知することで未知の脅威にも対応できます。しかし、攻撃者はEDRを無力化する方法を研究し、EDRを突破するような技術が確立していることも事実です。

本ブログでは、EDRの役割と限界、攻撃者がどのようにEDRを回避しているのか、そして企業が今後どのような対策を講じるべきかについて整理していきます。

 

EDRの役割と期待されている機能

EDR(Endpoint Detection and Response)とは、エンドポイント上で発生する不審な挙動や攻撃の兆候を検知し、迅速に対応するためのセキュリティ製品です。
主に次の 4 つの役割を担っています。

① 不審な行動の発見
EDRは、マルウェア感染や侵害の前兆となり得る異常なアクティビティを継続的に監視し、変化を検知します。ログ収集や挙動分析などにより、明らかに不自然な動きだけではなく、微妙な変化も捉えようとします。

② エンドポイントの可視化
管理者は、EDRを通じて全端末の状態を俯瞰的に把握できます。どの端末で何が起きているのか、どこに疑わしい動きがあるかが分かるため、調査・分析の負荷を大きく軽減します。

③ 迅速なアクション
攻撃が疑われる場合、EDRは端末隔離やプロセス停止、ファイル削除などのアクションを自動・手動で即時に実施できます。これにより、攻撃の拡散を最小限に抑えることができます。

④ 事後分析の支援
攻撃がどのように始まり、どのように拡大したかを分析するための詳細ログを保持します。再発防止のための知見を得るうえで重要な機能です。

このように、EDRは“侵害の早期発見”に大きな強みを持つ一方で、万能ではなく最近の高度な攻撃に対応できない場合も少なくありません。実際、多くの攻撃が EDRの仕組みを熟知したうえで巧妙に回避されています。

なぜEDRは回避されるのか

EDRがランサムウェア攻撃を完全に防ぎきれない理由はいくつかあります。特に以下の点は構造的な課題として知られています。

① パターン・ルールへの依存
多くのEDRは、運用負荷や誤検知を抑えるため、既知のパターンやルールに一定割合依存しています。そのため攻撃者は、検知ロジックに合致しない動作、新しい亜種、一度しか使わないカスタムマルウェアなどを作成し、意図的に検知を避けてきます。

② ユーザー空間で動作している
ほとんどのEDRはユーザー空間で動作します。これに対し、熟練した攻撃者は、カーネルモードでの処理、脆弱性を含むドライバの悪用、メモリの直接操作などより低レイヤーの手法で攻撃を行い、EDRの監視をバイパスしてしまいます。

③ 挙動が“予測可能”である
EDRはソフトウェアであり、研究すれば挙動が分かります。高度な攻撃者は、
「どう振る舞えばEDRがアラートを出さないか」を事前に調査し、その条件を満たすように攻撃ツールを調整してきます。

④ パフォーマンスの制約
EDRは端末のパフォーマンスを確保しながら監視する必要があります。そのため、高速で一瞬だけ動作する攻撃や、大量のプロセスを一気に生成して混乱を起こす手法などを使われると検知しきれないケースがあります。

⑤ 正常な動作に偽装した攻撃
PowerShell や WMI などの「正当な管理ツール」(いわゆる LOLBins)を悪用する攻撃では、EDRが“管理者の操作”と“攻撃者の操作”を区別するのが難しくなります。

このような構造的要因により、EDRは攻撃の全てを捉えきれません。

攻撃者が実際に使うEDR回避テクニック

攻撃者がよく使う手法は次の通りです。

① Living off the Land(LotL)
OS標準ツールや管理ツールを悪用し、悪意のあるファイルを使わずに攻撃を行う方式。
例:PowerShellでの暗号化実行、WMIを使った横展開

② EDRプロセスの改ざん・停止
脆弱なドライバを悪用する BYOVD(Bring Your Own Vulnerable Driver)攻撃 により、EDRの保護を無効化した後に暗号化を実行するケースが増加しています。

③ プロセスインジェクション
安全に見えるプロセスに悪意のあるコードを注入し、EDRの監視を回避する手法。

④ ファイルレスマルウェア
ディスクに痕跡を残さずメモリ上で活動し、EDRの検知を困難にします。

⑤ 難読化・圧縮
マルウェアのコードを複雑化し、静的分析を回避する方法。攻撃ごとに内容を変えるため、パターンマッチングだけでは対処できません。
つまり、攻撃者は「いかにEDRを無力化するか」を前提に攻撃を組み立てており、EDRだけではランサムウェアの暗号化フェーズまで確実に止めることは難しくなってきています。

企業が取るべき対策とは

では、EDRの限界を踏まえたうえで、企業はどのように防御力を高めれば良いのでしょうか。ポイントは EDRを前提としつつ、“ランサムウェア特化型の追加レイヤー”を採用すること にあります。

① 侵害前提の多層防御
EDR、ID管理、パッチ管理、ネットワークセグメンテーションなどのレイヤーを組み合わせ、どれか1つが突破されても被害を抑えられる仕組みが不可欠です。

② ランサムウェアの「暗号化フェーズ」への防御
EDRが万が一すり抜けられたとしても、暗号化の開始前に攻撃を阻止、あるいは暗号化が始まる前に止める、または暗号化後も復旧できるための追加レイヤーとして、ランサムウェア専用の防御技術 が注目されています。

③ バックアップの整備
攻撃者はバックアップデータの削除や改ざんも狙います。オフラインバックアップや不変化ストレージといった仕組みを取り入れることが重要です。

④ 復旧能力の強化
“攻撃を防ぐ”だけではなく、“攻撃を受けても早期復旧できる”という視点がこれまで以上に強く求められています。
最近では、EDRで検知しきれないランサムウェア攻撃を補完し、復旧までを最適化できる技術も登場しています。こうした技術を組み合わせることで、より安心感のある体制を整えられる事が可能になってきています。

Halcyonのご紹介

そこでこれらの課題の解決策として、当社が扱うHalcyonをご紹介させていただきます。既に導入されているアンチウィルスやEPP・EDRをそのままに、それらを補完するだけでなく、暗号化されたデータの復号や復旧対応やRDRチーム(Ransomware Detection and Recovery)の監視といった、Halcyonの独自技術によって、ランサムウェア攻撃からお客様のビジネスを守る事が可能です。

Halcyonの主な特徴と機能

ランサムウェアによるデータ暗号化事前阻止、シグネチャベースの検知、振る舞い検知、AI(機械学習)による検知に加え、Halcyon独自技術を活用した「デセプション」を装備しており、ランサムウェアに特化した多層的な防御を提供します。これにより、既知のランサムウェアはもちろん、未知のランサムウェアによる感染も未然に防ぐ事ができます。

RDRチームによる監視

最近のランサムウェアは標的となる企業の端末に侵入した後、バックアップを含めたファイルの暗号化による破壊活動だけでなく、重要なデータを窃取することで、業務の継続阻止と情報漏洩をちらつかせる二重脅迫型の手法が主流となっています。更に、すでに導入している EPP・EDR を回避する高度な攻撃手法を持つランサムウェアも増加し、「入口対策」や「事前阻止」だけでは対応が難しくなってきています。
対策として、従来の EPP・EDR を補完し、エンドポイント・サーバーといった企業の重要インフラの迅速な復旧を実現する、「ランサムウェアに特化した復旧対策(RDR:Ransomware Detection and Recovery)」の導入が重要です。

暗号キーのインターセプトによる復号化と迅速な復旧

万が一、データが暗号化されてしまった場合でも、即時にその暗号化の開始を検知し、暗号化キーを捕捉・退避します。
すでに導入している EPP・EDR を回避したランサムウェアを排除し、暗号化されたファイルを復元するためのモジュールを配信・実行することで暗号化されたファイルを迅速に復元します。また、当社とHalcyon社RDRチームが連携し、被害にあったすべてのエンドポイント・サーバーの復旧をサポートします。

おわりに

ランサムウェアは日々進化しており、攻撃者のEDR回避能力も年々高度になっています。
EDRは重要な防御基盤であることに変わりはありませんが、それだけでランサムウェアを完全に防ぐことは難しいという現実が明らかになってきました。
今後の対策を検討する際には、従来のEDRを中心とした防御に加え、ランサムウェアの暗号化フェーズにも対応できる追加レイヤーを取り入れることで、よりバランスの取れたセキュリティが実現できます。
このような視点で防御を見直すことが、結果的に企業の事業継続性を高めることにつながっていくのではないかと考えます。

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

【おすすめ対策】
新たな世界標準!ランサムウェア対策プラットフォーム「Halcyon」
Halcyon(ハルシオン)ランサムウェア対策プラットフォーム | 高千穂交易株式会社 製品サイト

ランサムウェアに特化した「最後の砦」となるソリューションで、400社以上導入があり、専門性と実績を誇るセキュリティ業界で最も注目されている企業の1社です。

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/

 

関連製品情報