Written by 橋口 正樹
セキュリティ、コンプライアンス、デジタルマーケティング、趣味でラズパイオーディオに没頭中。
目次
Deep Instinct社 ランサムウェア
事後対応より予防が大事
ディープラーニングによるAIアンチウィルス Deep Instinct(ディープインスティンクト)社より、昨今報道で目にすることが多いランサムウェアの対策レポート「ランサムウェア 事後対応より予防が大事」がリリースされました。
潜伏期間が短くなったサイバー攻撃に対応するには
いまや、攻撃を受けてしまった被害者個人だけでなく、その組織、さらには関係する行政やインフラにまで影響を及ぼすようになったランサムウェア。2021年に入って、米国の最大手ガスパイプラインのコロニアル社の攻撃やアイルランドの医療サービス運営機構の攻撃など、次々に報道されています。増加の前年比は400%を超えており、攻撃のプロ集団だけでなく、「攻撃サービス」を利用するケースも多くなっています。
出典: Deep Instinct「2020 Cyber Threat Landscape Report (英語)」
出典: Blackfog「The State of Ransomware in 2021 (英語)」
サイバー攻撃について内容を掘り下げるときに、よく引き合いに出されるものとして、被害組織によって攻撃が発覚した時刻と、実際に攻撃が行われた時刻の差、いわゆる潜伏期間があります。この潜伏期間は、ほんの数年前までは100日から長いものでは400日ともいわれることがありましたが、ランサムウェアの流行によってか、その期間は数十日に縮まりました。さらに、ディープインスティンクトのこのレポートでは、ランサムウェアが実行されてからエンドポイントが感染(危殆化)してしまうまで0.016秒であると指摘しています。これはともすると、攻撃者がいかに素早く報酬を稼ごうとしているかの現れと捉えることができるかもしれません。
一方で、攻撃から身を守る場合、この驚異的なスピードに対応する検知を実現するには、従来のEDRでは難しいとレポートは指摘しています。つまり、攻撃の検知だけではランサムウェア感染を防ぐことはできず、予防対策・事前対策に重点を置くことが大切だとしています。そして検知後には、どのように侵入されたかや、万が一の場合は対象のエンドポイントをネットワークから隔離する、ファイルを削除するなどの対策をセットで実現できるものが求められているとしています。
なぜディープラーニングを活用するのか
ディープラーニングを活用したエンドポイント製品であるディープインスティンクトが、なぜディープラーニングを活用しているのか。その答えの一つは、この攻撃スピードへ対応し、また多岐に渡る攻撃手法でも対応できるようにしていくためです。レポートの後半では、ランサムウェアの攻撃手法(攻撃ベクトル)に対して、ディープインスティンクトがどのように多層防御を提供できるかに言及しています。つまり、感染する前にいくつもの手段を使って防げる・守れるようなアプローチを取っているわけです。実は日本では提供が無いのですが、ディープインスティンクトは「万が一ランサムウェアに感染したら補償します」という取り組みも北米や欧州で実施しています。これは、同製品の未知の脅威に対する検知率の高さ、そして過検知率の低さの自信の表れということができるでしょう。
この防御の実力に加えて、攻撃発生の経緯の把握による根本対策、また万が一感染してしまった場合のファイル削除や端末のネットワーク隔離など、EDRの要素も一つの製品で備えているのが、ディープインスティンクトの「気の利いている」ポイントです。
ディープインスティンクトについての理解を深めるだけでなく、ランサムウェア対策、EDR導入などを検討されている皆さまの、更なる理解に役立てることができるレポートです。是非ダウンロードしてみて下さい。
Deep Instinct社 ランサムウェア
事後対応より予防が大事
関連する記事
