セキュリティ対策

ランサムウェア対策に有効な振る舞い検知(NGAVやEPP)とEDRとは?

振る舞い検知(NGAVやEPP)とEDRの違い

更新日:2024年9月18日

はじめに

セキュリティの脅威は日々進化しており、従来のセキュリティ対策だけでは対応しきれないケースも増えています。ここで注目されているのが「振る舞い検知」や「EDR」というセキュリティ技術です。この記事では、ランサムウェア対策に有効とされる振る舞い検知とEDRについて解説しています。

振る舞い検知とEDRは、セキュリティ対策において重要な要素ですが、それぞれ異なる役割を果たしています。この章では、振る舞い検知とEDRの違いや仕組みについて解説し、効果的なセキュリティ戦略の構築に役立てるポイントをご紹介します。

【1】振る舞い検知とは?

behavior detection

振る舞い検知とは、ウイルス対策ソフトに内蔵された機能の1つを表します。PCやネットワーク上のプログラムの活動、振る舞いを監視し、異常な動作や攻撃的なパターンをするマルウェアを事前に検出する仕組みです。
ウイルスが活動する前に検出する仕組みは、従来のウイルス対策ソフトにも内蔵されていましたが、振る舞い検知とは一体何が違うのでしょうか?

振る舞い検知と従来のウイルス対策ソフトの違い

従来のウイルス対策ソフトはシグネチャベース型(パターンマッチング)といい、既知の攻撃パターンを事前に登録しておくことで、それと一致するマルウェアを検出することができます。言い換えると、パターンを登録してないマルウェアが侵入しようとしてきたときに検知できないのです。一方、振る舞い検知は、プログラムの異常な活動や不審な動作を特定し検出するため、未知の脅威やゼロデイ攻撃にも対応できるとされています。

次世代型アンチウィルス「NGAV(Next Generation Anti-Virus)」とは?

近年では従来のアンチウイルス対策に、振る舞い検知などの未知のウイルス対策機能を加えたものを、次世代型アンチウイルス「NGAV(Next Generation Anti-Virus)」と呼んでいます。
また、NGAVや従来のアンチウイルス対策などを含む、エンドポイントのセキュリティを総合的に管理するためのソリューションを「EPP(Endpoint Protection Platform)」と呼びます。

従来のアンチウイルス(AV) 次世代型(NGAV)
検知方法 シグネチャベース型(ファイルを用いたパターンマッチング型式) ・AI型の機械学習
・振る舞い検知
対策できる脅威 過去に検知済の既知のマルウェア 未知・既知を問わない、あらゆるマルウェア

振る舞い検知の仕組み

振る舞い検知では「静的ヒューリスティック法」と「動的ヒューリスティック法」の2つを組み合わせることで、マルウェア感染の対策をおこなっています。

静的ヒューリスティック法とは?

「静的ヒューリスティック法」は、実際にプログラムやファイルを実行することなく、そのコードや構造、内容に基づいて評価を行います。静的ヒューリスティック法は、既知の脅威や攻撃パターンに対する検出効果が高い一方で、新たな攻撃や未知の脅威には対応できないという制約があります。そのため、静的ヒューリスティック法は、「動的ヒューリスティック法」と組み合わせて使用されることが一般的です。

動的ヒューリスティック法とは?

「動的ヒューリスティック法」は、実際にプログラムを動かし、異常な活動や不審な動作を特定することでマルウェアかどうかを判断する方法です。動的ヒューリスティック法は、未知・既知の脅威に関わらず怪しい振る舞いをしたプログラムを検出します。この2つの方法を組み合わせることで多様化するマルウェアの特定が可能になります。

振る舞い検知は従来のセキュリティ対策では検出できなかった新たな攻撃手法や未知のマルウェアに対応するために重要な役割を果たしているのです。

振る舞い検知とEDRによるマルウェア対策

【2】EDRとは?

EDR

一方、EDR(Endpoint Detection and Response)は、PCなどのデバイス(エンドポイント)に侵入したマルウェアの検出と対応を行うためのセキュリティソリューションです。
サイバー攻撃の方法は日々進化し、従来の対策をかいくぐる手法を編み出しています。その中でウイルスの侵入を完全に防ぐことはほぼ不可能であり、侵入してしまったウイルスの感染拡大を抑える手段として重要な役割をはたしているのがEDRです。

EDRの仕組み

EDRの仕組みは、エンドポイント上のイベントログ、ネットワークトラフィック、ファイルの挙動などからデータを収集し、機械学習や行動分析などの手法を活用することで、通常の挙動や異常な挙動を特定します。データ分析によって検知された異常な挙動は管理者に通知されます。管理者は更にログを精査し、原因や侵入元の特定を行い適切な対処をおこなうことでウイルス感染の被害拡大を防ぎます。

EDRの流れ

EDRは高度なデータ分析とリアルタイムな対応能力を備えているため、新たな脅威に対しても効果的なセキュリティ対策を提供します。

【3】振る舞い検知とEDRの違い

ここまで「振る舞い検知」と「EDR」について解説を述べてきました。振る舞い検知とEDR両者共に、エンドポイント上でのイベントや挙動を監視し、セキュリティインシデントに対して迅速な対応が可能なことから、未知の脅威や新たな攻撃手法に対して効果的なセキュリティ対策であることが分かります。
しかし、振る舞い検知を含むEPPとEDRはそれぞれ対応する場所や役割が異なります。
EDRは社内ネットワークに感染してから対応するのに対し、振る舞い検知を含むEPPはマルウェアへの感染を未然に防止することが目的です。

EPPとEDRの違い

【4】まとめ 振る舞い検知とEDRの組み合わせ

振る舞い検知とEDRは、それぞれ独自の役割と機能を持っていますが、組み合わせることでより強力なセキュリティ対策を実現できます。振る舞い検知は未知の攻撃を検出する能力を持ち、EDRは感染した後のエンドポイント上で異常な挙動を監視するため、お互いの強みを活かすことでことで、より精度の高い検出とリアルタイムな対応が可能となります。また、振る舞い検知とEDRの組み合わせは、攻撃者が進化し続ける現代のセキュリティ脅威に対抗するために不可欠です。
昨今、標的型メール攻撃で多く利用されているEmotetや、プログラムのパッチ公開前にそのセキュリティホールを悪用して攻撃するゼロデイ攻撃に対しても、振る舞い検知、EDRともに有効です。

【5】振る舞い検知がサイバーセキュリティにおいて重要である理由

振る舞い検知は、システムやネットワーク上で発生する異常な動作や挙動をリアルタイムで検知し、攻撃の兆候を早期に発見することができます。この章では、具体的な事例を元に振る舞い検知がサイバーセキュリティ対策においていかに重要であるかを説明します。

ランサムウェア攻撃を未然に防ぐ

まず、ランサムウェアの事例を考えてみましょう。ランサムウェアは、ユーザーのファイルを暗号化し、その解除のために金銭を要求する悪質な攻撃です。従来のウイルス対策ソフトは、既知のマルウェアパターンを元に検出しますが、未知のランサムウェアや攻撃者がカスタマイズした新種のマルウェアには対応できない場合があります。

振る舞い検知のアラート機能

振る舞い検知は、システム内で突然大量のファイルが暗号化される、ネットワークの通信量が急増するなどの異常な挙動を検知し、すぐにアラートを上げます。この早期警告により、被害を最小限に抑え、ファイルが完全に暗号化される前にシステム管理者が対策を講じることができます。

内部不正の検出と防止

振る舞い検知は、外部からの攻撃だけでなく、内部の不正行為にも有効です。例えば、大手企業での事例ですが、ある社員が権限を持たないデータベースにアクセスしようとする試みを振る舞い検知が捉えました。この異常な動作をきっかけに調査が行われ、社内のデータ漏洩計画が未然に発見されました。

このような内部不正は、通常のセキュリティ対策では見逃される可能性が高いですが、振る舞い検知は通常の業務プロセスから逸脱した行動を自動的に識別し、管理者に通知するため、早期発見に繋がります。

APT攻撃への対処

高度持続型脅威(APT)攻撃は、長期間にわたって標的に対して巧妙に行われるサイバー攻撃の一種です。APT攻撃は、攻撃者が内部に侵入してもすぐに大きな被害を与えるわけではなく、徐々に情報収集やシステムへの影響を与えるため、従来のセキュリティツールだけでは発見が難しいとされています。

振る舞い検知を導入していたある企業では、数ヶ月間にわたって不審なシステム操作や通信が少しずつ増加していることが検知されました。振る舞い検知システムは、これらの一見無害に見える挙動を「異常」として判定し、調査が行われた結果、APT攻撃の進行が発見されました。最終的に、企業は重大な情報漏洩を防ぐことができました。

ゼロデイ攻撃に対する防御

ゼロデイ攻撃は、セキュリティパッチが未公開または未適用の脆弱性を狙った攻撃で、従来のシグネチャベースのセキュリティ対策では対応が困難です。これに対し、振る舞い検知は未知の脅威に対してもシステムやネットワーク上の異常な挙動を監視し、早期に警告を発することができます。

ある金融機関では、従来のセキュリティソフトでは検出できなかった新しい脆弱性を突いた攻撃が行われましたが、振る舞い検知が異常なネットワーク通信を発見し、早期に対処したことで、大規模な顧客データの流出を防ぐことができました。この事例は、未知の脅威に対する振る舞い検知の有効性を示しています。

マルウェア対策に関する記事は、下記のバナーをクリックして頂くと表示されます。

マルウェア対策ページへのリンク

【6】被害の実例:油断していた、ランサムウェアによる被害……

ランサムウェアによる被害例

ランサムウェアによる被害の内容

被害企業:<製薬メーカーX社 (従業員数:200名)>

医薬品や医療用食品の受託生産をはじめ、健康食品の製造・販売などを手掛ける製薬メーカーのX社。同社では外回りの営業マンが多いため、オンプレミス型のIT資産管理ツールによってセキュリティ対策を行い、情報漏えいを防止していた。

セキュリティ対策は万全かと思われたが、社員のとある行為により、情報漏えいリスクにさらされることになる。その行為とは、「あるサイトにアクセスした」ただそれだけだった。実はこのサイトが改ざんされていたため、知らぬ間にマルウェアに感染しランサムウェアの被害にあってしまったのだ。

ランサムウェアによる被害に関して、X社情報システム運営室のA室長はこう語る。「最近ニュースなどでもよく取り上げられているランサムウェアはもちろん知っていました。それなりに不安も感じていましたが、追加でツールを導入する予算もなく、また、うちの会社は大規模ではないから被害にあわないだろう…… なんて思っていた矢先のことでした」

ランサムウェアによる被害への対策を開始

X社ではウイルス対策/セキュリティソフトの導入はもちろん、定期的にOSの修正パッチを配布していた。ところが、その社員に話を聞くと、外出先から帰宅してもPCをスリープにしたままにしていたため、OSの修正パッチ適用やウイルス対策ソフトのパターンファイル更新を見逃していたという。こうしてパッチの更新が漏れていたところがセキュリティホールとなり、感染してしまったのだ。

幸いなことに、バックアップツールを導入していたため最悪の事態は免れたが、今回の件で社内全体への周知や対応にも追われ、事態の収束には時間を要した。

事態を重く見たX社経営陣は、早急に再発防止策を講じるよう情シス部門のA氏に指示を出し、A氏は情報収集をはじめた。しかし、セキュリティ専任の担当はおらず、A氏を含めた2人のみでツール導入検討と見直しを行うことになった。

「正直、現在IT資産管理ツールの他に導入している外部メディア制御や操作ログといったツールに加えて、ランサムウェア対策を行うための新しいツールの面倒を見るのは手一杯でした」(A氏)

振る舞い検知による対策

ウイルス対策ソフトでは防げなかったことを痛感したX社はランサムウェアや標的型攻撃を防ぐ「ふるまい検知」という機能に着目した。今回の原因は、OSのパッチが当たっていなかったことだ。クラウド型のIT資産管理システムであればインターネットに接続されていれば持ち出しPCの対処もできる。

ランサムウェア対策に関する記事は、下記のバナーをクリックして頂くと表示されます。

ランサムウェアとマルウェア対策

【7】まとめ  振る舞い検知の未来

振る舞い検知は、従来のシグネチャベースのセキュリティ対策とは異なり、未知の攻撃にも対応できる柔軟性を持っています。そのため、今後もサイバーセキュリティ分野での重要性はさらに高まっていくでしょう。AIや機械学習技術との組み合わせにより、異常な挙動をより正確に検知できるようになると期待されています。

また、振る舞い検知機能などを備えた次世代型アンチウイルスNGAVや、EDRのほかにエンドポイントだけではなく、他サーバーやネットワークなどシステム全体のウイルス対策を行うXDR(Extended Detection and Response)といったキーワードも登場してきました。ITの普及により今や当たり前となりつつあるマルウェアによるPCのウイルス感染ですが、ウイルスを完全に防ぐことは難しいため、最新の技術やトレンドを取り入れながらセキュリティを強化していく事が重要になってきます。

最後に、振る舞い検知は万能ではなく、他のセキュリティ対策と併用することが重要です。総合的なセキュリティ戦略の一環として、振る舞い検知を活用することで、企業や組織はサイバー攻撃に対する防御力を飛躍的に向上させることができます。

<関連記事>
■振る舞い検知とは?巧妙化するマルウェア攻撃と対策法3選

RECOMMENDこちらの記事も人気です。