“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう

1

2025年01月14日 07:31  ITmediaエンタープライズ

  • 限定公開( 1 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

ECサイトにおける情報漏えい事件は増え続けているが、その背後にある数値は重い(出典:トレンドマイクロ記者発表会資料)

 トレンドマイクロは2024年のサイバーリスク動向を総括するレポートを公開しました。これによると、日本の組織が抱えるサイバーリスクとして「脅威」「脆弱(ぜいじゃく)性」「資産」といった構成要素それぞれに課題があり、それらに自覚的ではない、もしくは放置していることが、組織のインシデントにつながるとのことです。


【画像】“EDR回避”が2025年の最新トレンド?【全1枚】


 このレポートを解説する記者発表の中では、「脆弱性」に対するリスクの例として、2019年ごろから現在まで続いているECサイトを標的にした攻撃キャンペーン「Water Pamola(ウォーターパモラ)」が取り上げられています。


 Water Pamolaは被害期間が非常に長く、被害に気が付かれにくいこともあり、なかなか根絶に至っていません。さらにこの攻撃で使われていた脆弱性についても、多くのセキュリティベンダーや機関によって積極的に注意喚起されていたにもかかわらず、企業の対応は進んでいないのが実態です。


 トレンドマイクロはこれらへの解決策として、アタックサーフェスマネジメント(ASM)の考え方を適用し、リスクを把握して対処することを推奨しています。ほんの少し前までは、解決策としてはEDR(Endpoint Detection and Response)がオススメされていた気がするので「ASMというバズワードを推したいのかな?」と邪推してしまいます。


 ただ、よくよく考えてみると、この流れはある意味「われわれの対策の方向性が間違っていなかった」ことを指しているとも考えられます。つまりEDR製品が企業に普及し、生半可の方法では攻撃が成立しなくなったと捉えた方が前向きかもしれません。サイバー攻撃者は手法を変えざるをえず、結果としてセキュリティベンダーに変化を与えた可能性がありますね。


 これは決して「EDR不要論」というわけではなく、アタックサーフェスマネジメントはEDRとは異なる次元のお話であり、両方とも必要なものだということです。


●攻撃者の最新トレンドは“EDR回避” これを実現する技術的手法とは?


 個人的に気になっているのは、EDRの“現在地”です。トレンドマイクロは実際に脅威アクターの間で使われている「対EDR」に向けた攻撃手法をまとめています。これを読むと、何とも想像を超えたやり口であり、EDRを使っている組織は目を通しておいた方がよいと思いました。


 この記事は、攻撃者がどのようにして“天敵”となったEDRを回避するかを、技術的にブレークダウンする内容です。多少込み入っていますが、実際のランサムウェアによる攻撃は単に「迷惑メールに添付したファイルを実行させて、それがシステムを暗号化する」というものではなく、段階を踏んで実行されます。


 攻撃者はバッチファイルを段階を踏んで実行し、内部コマンドを悪用しながら、痕跡を残さないように一つ一つのセキュリティ機構をオフにしていきます。


 問題なのは、私たちが頼りにしているEDRを停止させる方法です。これにはEDRKillShifterというツールが使われています。これは脆弱性のある正規ドライバを導入し、それを経由してEDRをはじめとするアンチウイルス関連のアプリケーションを停止させます。


 この記事では、EDRKillShifterが停止させるアプリケーション名の一覧も付記されています。そこにはトレンドマイクロ以外にも多くのベンダーが関連していそうなファイル名が対象になっています。


 EDRはここまで、攻撃者に忌み嫌われる存在になったのかと興味深く読みました。もちろん、攻撃時にここまで派手に動かざるを得ないわけですので、どこかに痕跡は残るはずです。それを、しっかりと予兆として把握し、情報窃取/暗号化といった最終ゴールの前までに止めることができればわれわれの勝利です。その意味では、EDRを活用しつつ、さらなる対策がもう一つ上の次元で実行されている必要があるというのは納得できるのではないでしょうか。そして、EDRが万能ではないことも、理解ができると思います。


 恐らくですが、その一つ上の次元でやるべき対策は、購入できるものではないようにも感じます。そこで必要なのはやはり「組織力」だったり「ガバナンス」であり、「人」ではないでしょうか。脆弱性はパッチ適用が必要ですが、パッチ適用に至るまでのプロセスこそが難しいものです。重要な操作には認証が必要となっているはずですが、そもそもの特権管理がなされていなければ効果はありません。2025年は、ソリューションの強化ととともに「人」の強化をし、組織そのものが攻撃者の“天敵”になれることを願っています。


筆者紹介:宮田健(フリーライター)


@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。

    Copyright(C) 2025 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
    掲載情報の著作権は提供元企業に帰属します。

    ランキングIT・インターネット

    アクセス数ランキング

    一覧へ

    話題数ランキング

    一覧へ

    前日のランキングへ

    ニュース設定

    このページの上部へ