■はじめに
本記事ではAdaptive Protection(適応型保護)を使用した"ランサムウェア対策"について掲載をしております。
Adaptive Protectionの機能概要につきましては、以下のリンクよりご確認ください。
【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~適応型保護編~
■ランサムウェアとは
昨今ニュースなどで話題になっているランサムウェアによる被害をご存じでしょうか。
恐らく「サイバーセキュリティにはあまり興味がない...」という方でも一度は耳にしたことがあるのではないかと思います。
ランサムウェアはメールの添付ファイルやウェブアクセスといった経路によりPCなどの端末に感染します。
感染した端末は"端末自体が使用できないようにロック"されてしまったり"業務に使用するファイルが暗号化され利用不可になる"といった被害に見舞われます。
そして、ユーザがバックアップから端末を復旧できないようにバックアップを削除する等の細工を施します。
そのうえで画面に「端末を元に戻したいのであれば$○○払え」というような身代金の要求が表示されるようになります。
そういった状況に陥った場合、企業は以下のような深刻なリスクを抱えていることになります。
・取引(顧客)情報の流出
・業務継続の不可
・感染端末からの2次感染(ラテラルムーブメント)の脅威
・社会的な信用の低下
・直接的な身代金の損害 etc...
ひとたびネットワーク内の端末が感染してしまえば、通常の業務に戻れるようになるまでに時間的なコストも多くかかり企業としては"致命的な損害"を受けてしまいます。
また、企業が大きければ大きいほど比例して被害の規模も大きくなり得るため、取引の大半がネットワーク化された現代においては"どのような業種・業態においても"深刻な脅威と言えるでしょう。
■ご紹介したい対策
Symantec Endpoint Security Complete はランサムウェアに対しても有効なアンサーカードとなります。
EDRにより攻撃者のキルチェーンを迅速かつ確実に捕捉し、一連のキルチェーンの各ポイントにおいて保護を行います。
また、TDADなど個別の機能も連携して動作することにより「被害の拡大(ラテラルムーブメント)」を防ぐことで業務継続におけるリスクも最小限にとどめることが可能です。
【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~EDR編~
【Symantec】Symantecエンドポイントセキュリティ(SES)イチ押し機能のご紹介~Active Directoryの脅威保護編~
そして本記事のメインテーマとなるAdaptive Protectionも Symantec Endpoint Security Complete が提供する多層の防御の中の一つとなります。
そして今回の記事の中で実践していくのが「ランサムウェアによる端末のバックアップ削除をAdaptive Protectionによって阻止できるように対策しよう」という試みです。
■Adaptive Protectionについて
ここで一旦、Adaptive Protection(適応型保護)についておさらいしましょう。
Adaptive Protectionは「監視対象のPCのソフトウェア(ツール/アプリケーション)の使われ方を90日間学習し、最適な設定をご提案」する機能です。
つまり機械学習により...
・ソフトの中で頻度の低い(業務で使わない)使い方 ⇒ あらかじめ禁止して悪用を防ぐ
・ソフトの中で頻度の高い(業務でよく使う)使い方 ⇒ 業務影響がでるので許可
という機能です。
上記のように不要な穴を埋めてあらかじめ対策することを、「端末の要塞化」と言います。
ランサムウェアやLotL攻撃のようなWindowsなどの正規ツールを使用した攻撃の場合、こういった対策がとても大きな効果を生み出します。
セキュリティにおいてとても大事な対策の一つですが、実際の運用の中で行うには"業務影響を考慮して判断できるだけの業務やITにおける知見"が必要となり、また対応する運用担当者の負荷も膨大になります。
組織においては業種・業態もしくは部署単位でも端末の使用用途や使用ツールは異なります。
セキュリティメーカーが対策すべく統一的なポリシーを適用してしまうと誤遮断が発生してしまい、そもそもの業務に影響を及ぼします。
そういった諸問題へのSymantecの独自の答えがAdaptive Protection(適応型保護)です。
■シャドウボリュームの保護を実践
これより、Adaptive Protectionの設定によるシャドウボリューム(PCのバックアップ)の保護を実践します。
まず、Symantec Endpoint Securityのエージェントがインストールされていない端末で、シャドウボリュームを削除してみます。
・削除コマンド実行前(シャドウボリュームの内容を表示するコマンドで確認するとバックアップが存在している)
・削除コマンド実行
・再度シャドウボリュームの状態を確認
削除コマンドの実行前は存在していたシャドウボリュームのデータが削除されています。
次に、Symantec Endpoint SecurityのエージェントをインストールしAdaptive Protectionでユーティリティツール(今回はcmdからのvssadmin実行)によるシャドウボリュームの削除を拒否する設定を施した端末で、同様の削除コマンドを実行します。
・設定画面(今回は管理コンソールホーム画面のヒートマップから実行)
それでは再度削除コマンドを実行します。
↑Symantec Endpoint Securityのエージェントがインストールされたクライアント上では検知アラートが確認できます。
・シャドウボリュームの状態を確認
今度はシャドウボリュームに保存されていたバックアップがしっかりと保護され、削除されずに残っていることが確認できます。
このように、Adaptive ProtectionではPCに標準搭載されているツールを利用した従来のアンチマルウェアなどでは捉えることが難しい攻撃を防ぐことが可能です。
今回の例でいえばランサムウェアがネットワーク内の端末に感染し人質化を行おうと試みた場合でも、バックアップをしっかりと守り"人質化自体を破綻させ業務が長期間停止してしまうリスクを防ぐ事"が可能であると実証できました。
なお、90日間の機械学習の結果「使用率ゼロ」のふるまいに関しては禁止するように提案を行い、一括での禁止(クイック調整) を行うことが可能になります。
365日経過後には使用率ゼロのふるまいに関しては自動的に禁止してくれます。
また、EDRにおいてインシデントとして検出されたふるまいについてAdaptive Protectionを連携させることで同様の攻撃をさせないように設定することも可能です。
最後に
シャドウボリューム保護以外でもランサムウェアの対策としてAdaptive Protectionが活躍する場面は多岐にわたります。
そして、あくまでAdaptive ProtectionはSymantec Endpoint Protectionが誇る多層防御の一層であり、
搭載されているNGAVはもちろんのこと、EDRにおいてもランサムウェアのふるまいは捕捉されしっかりと保護されます。
「EDRの投入はまだ検討中だがAdaptive Protectionでランサムウェアなどの脅威に対してリスクヘッジを実現したい」
「職場のツールの使用状況などに合わせたフレキシブルで誤検知のない保護を実現したい」
そういったご希望がございましたら、ぜひ本機能の導入をご検討いただけますと幸いです。
他のおすすめ記事はこちら
著者紹介
SB C&S株式会社
技術統括部 第2技術部 2課
宮澤 建人