ランサムウェアは、今日の企業にとってますます広く浸透している脅威となっています。ランサムウェアへの対策は予防と対応に重点が置かれていますが、ランサムウェアを早期に検知する能力も同様に重要です。早期検知は、影響を及ぼすポイントを判断するのに役立ちます。
ランサムウェアからITインフラを守るために早期検知を利用することは、銀行の金庫を守ることによく似ています。銀行では、定期的に巡回する警備員や、不審な動きを監視するために定期的に閲覧するセキュリティカメラがあります。これらの典型的な予防と対応技術は、定期的なベースのスケジュールに基づいており、銀行強盗にある程度の洞察を与え、時には強盗を軽減することができます。
しかし、もし強盗がこれらのセキュリティ対策を回避して金庫室にアクセスすることができたらどうでしょうか。強盗が何かを盗む前に、金庫室に入った瞬間に強盗の行動を検知することが理想的です。そこで活躍するのが、早期検知の技術です。
早期発見がビジネスの安全確保に欠かせない
金庫室での強盗の活動を検知することが銀行の資産を守るために重要であるように、ランサムウェアを早期に検知することは、ビジネスの安全を守るために極めて重要です。ランサムウェアを早期に発見すればするほど、それを阻止するための対策を講じることができ、資産の損失やダウンタイムを防ぐことができます。
ランサムウェアの検知は、予防と対応の中間に位置し、防御の第一線となるものです。攻撃者は検出を回避するためにさまざまな回避技術を使用するため、ランサムウェアがお客様の環境に損害を与える前に特定するには、複数の検出技術で対抗することが重要です。
各検出技術には長所と短所があります。以下では、いくつかの一般的な検知技術を、それぞれの長所と短所とともに検証します。多くの場合、企業は複数の検出技術を組み合わせて、自社のニーズに最も適したアプローチを見つけることができます。
静的ファイル解析
サーバーで漠然としたアラートが発生した場合、静的ファイル解析が選択肢となります。この方法は、実行可能なファイルを解析し、コードを実行することなく、疑わしいコード列を検出します。ランサムウェアの場合、静的ファイル解析では、既知の悪意のあるコード列、一般的に標的とされるファイル拡張子、ランサムノートで頻繁に使用される単語を検索することができます。この方法は、既知のランサムウェアに対して有効であり、誤検出率も低いのですが、手作業で行う場合は時間がかかることがあります。また、パッカー/クリプターを使用したり、文字を数字や特殊文字に置き換えたりすることで、簡単に回避することができます。
一般的なファイル拡張子のブラックリスト
ファイルアクセス監視ツールを使用して、よく知られたランサムウェアの拡張子をブラックリストに登録することも、検出方法の1つです。これらのツールは、WannaCryランサムウェア(.wncry)のような特定の拡張子が保存または共有されるのをブロックできます。この方法は、一般的なランサムウェアに対して有効であり、誤検知率が低く、被害が発生することはありません。しかし、ランサムウェアは、新しい拡張子を使用することで、簡単にこの方法を回避することができます。拡張子のブラックリスト機能を持つファイル監視ソリューションを見つけることも困難な場合があります。
ハニーポットファイルと「まやかし」のテクニック
ハニーポットファイルは、攻撃者を検知するために共有フォルダや場所に置かれた偽のファイルです。このファイルにアクセスされると、アラームが作動します。ハニーポットファイルは、文書に一意の識別子を埋め込む無料のオープンソースツールで簡単に作成することができます。しかし、この方法では、正規のプログラムやユーザーが餌となるファイルに触れる可能性があるため、誤検知の可能性があります。また、ハニーポットファイルに触れることなく、ランサムウェアがシステムの一部を攻撃することに成功した場合、おとりファイルがトリガーとなってアラームが鳴るまで、あなたのファイルは攻撃によって暗号化されます。さらに、攻撃者がハニーポットを検知した場合、おとりファイルを回避して他のファイルやシステムを標的にすることも可能です。
大量ファイル操作の動的な監視
ファイルシステムを監視し、特定の時間枠内でリネーム、書き込み、削除などの大量のファイル操作を行うことで、ランサムウェア攻撃をリアルタイムで検出することができます。ファイルの完全性監視ツールは、ファイルの最新バージョンを既知の信頼できるベースラインと比較し、ファイルが変更、更新、または侵害された場合に警告を発します。この技術は、ソリューションによっては、ランサムウェアの攻撃を自動的にブロックできる可能性があります。しかし、時間をかけてゆっくりとファイルを暗号化するランサムウェアは、この方法を回避することができます。
複数の検知技術が鍵
銀行が単一のセキュリティ手法に依存しないのと同様に、ランサムウェアの検出にも万能なソリューションはありません。企業は、ランサムウェアの早期発見と迅速な復旧を実現し、ランサムウェアが組織に与える影響を軽減するために、複数の検出技術を採用する必要があります。
関連トピックス
- ランサムウェアの検知もVeeamで対応!! Veeam ONE新アラート「Possible ransomware activity」
- データ損失を抑えたランサムウェア攻撃からの復旧【Druva】
- Blocky for Veeam : シンプルで即利用可能なVeeamのためのランサムウェア保護 (Linuxサーバ不要)
- Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
- CloudBerry Backup リリース 5.8の新機能紹介
- ランサムウェアの検知 :データ保護がレジリエンス(耐久性)を高めるその仕組み [Zerto]
- Veeamでできる4つのランサムウェア対策(堅牢化バックアップ)
- Veeamで行うマルウェア検出 – インラインスキャン
- なぜリアルタイム暗号化検知が重要なのか!
- ランサムウェアに対抗するためのZertoの7つの主要機能