サイバー攻撃
10万ファイルを5分で暗号化!ランサムウェア対策にEDRだけでは安心できない理由
Written by 今井 涼太
営業を経て、現在は LANSCOPE サイバープロテクション(BlackBerry Protect、Deep Instinct)マーケティング担当。
好きなドラマは「半沢直樹」。セキュリティ対策に「倍返し」はあり得ない。
やられる前にやる!事前防御だ!
目次
ランサムウェア対策で知っておきたい
暗号化阻止のタイムリミット
・ランサムウェアが暗号化するまでの流れを解説
・簡易比較表(CPMS VS EDR VS シグネチャ型ウイルス対策ソフト)
・EDR導入に向いている or 向いていない組織の傾向とは
ランサムウェアがファイルを暗号化するまでの時間が判明
データ分析のソフトウェアを提供しているSplunkが2022年3月に「Ransomware Encrypts Nearly 100,000 Files in Under 45 Minutes|Splunk」を発表しました。このレポートには、Splunkがランサムウェアのファイル暗号化にかかる時間を検証した結果が掲載されています。検証方法として、主要なランサムウェア10種類を用意し、それぞれのランサムウェアが10万ファイル(合計54GBほど)を全て暗号化するのにかかる時間を計測するといったものです。各ランサムウェアの計測結果は後述しますが、全10種類のランサムウェアが暗号化にかかる時間の中央値は42分52秒でした。自社の環境にランサムウェアが侵入されてしまった場合、1時間ほどで重要データを失ってしまう可能性があるといえます。
暗号化最速は、某医療機関を襲った“あの個体”だった
10種類のランサムウェアの内、最も暗号化が早かったのが「LockBit」でした。LockBitは10万ファイルをわずか5分50秒で暗号化しており、他のランサムウェアに比べ差をつけています。
出典:Splunk:Ransomware Encrypts Nearly 100,000 Files in Under 45 Minutes を基に MOTEX で作成
LockBitといえば、2021年11月頃に某医療機関の電子カルテを暗号化したことで話題になりました。電子カルテが使えなくなったことで、患者の既往歴を確認できず、診療を制限するといった事態に陥っています。最終的に、電子カルテの復旧に2ヶ月を要しています。また、LockBitは民間企業への攻撃を行っており、被害も確認されています。
<確認されているLockBitの被害>
2021年8月:某大手コンサルティング企業が感染。
暗号化したファイルを闇サイトで公開すると脅されていた。
2022年5月:某衣料品販売大手の企業が感染。
約2000店舗で一時的に衣料品などの取り寄せサービスが利用不可に。
2022年2月には米国連邦捜査局(FBI: Federal Bureau of Investigation)が「FBI FLASH – Indicators of Compromise Associated with LockBit 2.0 Ransomware」でLockBitに対し注意喚起を行っています。
ランサムウェアは「動く前」に止めることが重要
Splunkの調査結果からランサムウェアが一度動き始めると短時間でデータを暗号化することが分かったかと思います。それでは、いったいどのような対策をとればよいのでしょうか。従来のシグネチャ型ウイルス対策ソフトの利用や、最近ではEDR(Endpoint Detection and Response)を導入するケースも増えていますが、本当にそれだけで充分なのか見ていきたいと思います。
上記はランサムウェアがダウンロードされてから被害にいたるまでを図に示したものです ※。ランサムウェアが侵入してから僅か1.5秒で活動開始して、3秒後には暗号化を開始しています。そして2分後にはシステム内を水平展開しています。もちろん暗号化の対象となるデータ量やランサムウェアの個体によって暗号化にかかる時間は異なりますので、全てに当てはまるわけではありません。ただ、共通しているのは、EDRでアラートを出せたとしても、僅かな時間で人間が暗号化を止めることは非常に困難だといえます。また、シグネチャ型ウイルス対策ソフトでは、未知のランサムウェアが増えているため、そもそも検知できない可能性が高いです。
※Deep Instinct社調べ
AI(人工知能)を使った次世代型アンチウイルスソフト「CPMS」の効果
一方でランサムウェアに対抗できているのが、AI型ウイルス対策ソフト「CPMS」です。MOTEXでは、BlackBerry社、Deep Instinct社からOEM提供を受けCyber Protection Managed Service(CPMS)として「BlackBerry Protect」及び「Deep Instinct」を販売しています。どちらの製品も高性能のAIを活用しランサムウェアの検知を行いますので、未知・既知問わず99%以上※の検知能力をもって防御します。また、ランサムウェアが「動く前」に隔離をするため、暗号化が速いランサムウェアにも効果的です。さらに、定義ファイルも使っていないため管理工数も最小限で運用ができます。CPMSの詳細についてはダウンロード資料「ランサムウェア対策で知っておきたい暗号化阻止のタイムリミット」に掲載しております。無料でダウンロードができるためご興味ある方はお手にとって頂ければ幸いです。
実際にCPMSを使ってみたいという方には、1ヶ月の無料体験版もご用意しています。MOTEX技術者が無償で操作レクチャーやQA対応を実施させて頂きます。どこよりも手厚くフォローしますのでお気兼ねなくお問い合わせください。
※BlackBerry Protect:2018 NSS Labs Advanced Endpoint Protection Test結果より
※Deep Instinct:Deep Instinct社調べ
ランサムウェア対策で知っておきたい
暗号化阻止のタイムリミット
・ランサムウェアが暗号化するまでの流れを解説
・簡易比較表(CPMS VS EDR VS シグネチャ型ウイルス対策ソフト)
・EDR導入に向いている or 向いていない組織の傾向とは
関連する記事
