はじめに
サイバーセキュリティの世界でエンドポイントセキュリティに特化した書籍や特集は非常に希少です。エンドポイントとはサーバやPC、スマートフォンなどを示します。非常に身近でありながら学ぶ機会が少ない分野です。マカフィーと米国の戦略国際問題研究所(CSIS)が共同で作成したレポートには、サイバー犯罪が世界のGDPの1%超に相当する1兆ドル(約104.6兆円)以上の経済損失を与えていると記載されています。世界的にサイバー攻撃は増加傾向にあるので私たちのリスクも高まっています。エンドポイントセキュリティはそうした脅威に対する正しい対応のために必要な一つの要素です。
対象読者
- 基本的には誰でも読めることを目指していますが、ある程度ITセキュリティがわかっている人(※エンジニア歴2年目以降向けの内容です)。
水際対策としてのEPP
EPP(Endpoint Protection Platform)は、いわゆる「ウイルス対策ソフト」のことです。昔は悪意のあるソフトウェアをコンピュータウイルスと呼んでいましたが、今ではマルウェアと呼ぶことが一般的です。元々の定義より多くの機能を持つようになり、宿主を必要とせず感染するワームや感染端末を遠隔操作できるようにするボットなど、さまざまなバリエーションが生まれて、しかもそれらの特徴を併せ持つように変化していきました。それらを総称してマルウェア(悪意のあるソフトウェアの意味)と呼ぶようになった経緯です。
EPPはそうしたマルウェアがエンドポイントに感染しないようにスキャン・検知・除去するためのソフトウェアです。昔はシグネチャスキャン(既知のマルウェアと同一のファイルであるか照合するスキャン)によって、あらかじめ登録されたパターンにマッチするファイルを除去するだけで良かったのですが、そのやり方だと未知のマルウェアに対処できません。
現在のEPPは静的ヒューリスティックスキャンでコード解析ができるほか、動的ヒューリスティックスキャンによりサンドボックス環境でのコード実行が可能です。これにより未知のマルウェアも検出できるようになりました。毎日せっせとウイルス対策ソフトのパターン情報を更新し、週次でフルスキャンしていた時代を経験した方もいるでしょう。パターンマッチで脅威を検出するのが主流の時代はそうした作業が必要でした。今ではMicrosoftが「Microsoft Defender ウイルス対策のフルスキャンに関する考慮事項とベストプラクティス」の中でフルスキャンが不要であることを発信しています。時代と共に常識は変わっていきます。
※補足
- 静的ヒューリスティックスキャン:コードを実行せずに分析し、悪意のあるプログラム(マルウェア)かどうかを判断する方法。
- 動的ヒューリスティックスキャン:プログラムを実際に動かして、その挙動を見て悪意があるかどうか判断する方法。実行するとマルウェア特有の動きが確認できるため検知精度が高いが、危険が伴うため隔離された環境(サンドボックス環境)で実施する必要がある。
- サンドボックス環境:危険性があるプログラムを安全に実行・検証するための隔離環境。外部と遮断されているため、万が一マルウェアであっても周囲に影響を与えることがない。動的ヒューリスティックスキャンで利用される。
しかし、どんなに優れたEPPでもマルウェアの侵入を完全に防ぐことは不可能です。マルウェアも進化しており、コードの難読化やサンドボックス環境下では悪い機能を隠す挙動をするなど、攻撃者は巧みにスキャンを逃れる工夫をします。メールの添付ファイルから感染するEmotet(エモテット)などは不正なコードをほとんど持たずに侵入し、安全を確保した後に悪い機能をダウンロードする挙動でEPPをすり抜けます。
現在のサイバー攻撃は、EPPによる水際対策をすり抜けることに特化しているため、EPPだけでエンドポイントを守ることは難しくなりました。EPPが正しく動作している環境でもEmotetに感染しますし、ランサムウェア攻撃を受けます。この理由は後述します。先に、そうした攻撃の対策となるEDRについて解説します。
侵入後の対策としてのEDR
EPPはエンドポイントにマルウェアを侵入させない水際対策ですが、EDR(Endpoint Detection and Response)は水際で食い止められなかった脅威への特効薬となります。最近ではEPP/EDRは一つの製品として機能を併せ持つものが多いです。
エンジニアの間では、「ランサムウェア攻撃を受けた際に、バックアップから復旧できるように用意すべき」という話をよく聞きます。これはそう簡単ではありません。7〜8割はバックアップから復旧できていないのが現実です。実際にランサムウェア攻撃を受けてからバックアップから復旧したと思ったら、その中にマルウェアが混入していて攻撃が継続した、というケースもよくあります。それもそのはずで、マルウェアが組織内に侵入してボットネット構築してランサムウェア攻撃を仕掛けるまでの潜伏期間は平均で1週間程度と言われています。
つまり、ランサムウェア攻撃を受けた場合は1週間以内のバックアップにマルウェアが混入している可能性が高いのです。混入しているだけならまだマシで、OneDriveの過去バージョンファイルを破壊する攻撃も観測されているので、バックアップが破壊されている可能性もあります。
EDRが導入されていれば、脅威がいつ侵入して、組織内でどう広がっているのか調査することができます。そしてNW(ネットワーク)設定を変更せずにEDRの機能で論理的にNW隔離を行い、影響を封じ込めてからフォレンジック調査することができます。マルウェアのファイルを特定した場合には、同じファイルを組織内から一斉に除去することも可能です。
こうした脅威の検知、調査、除去、回復の機能を持つEDRこそが、侵入後の潜伏期間が長いマルウェアへの特効薬となっています。
