ランサムウェア対策 - 従来型アンチウィルス vs. 専用アンチランサムウェア製品

, , , ,

ランサムウェア対策 - 従来型アンチウィルス vs. 専用アンチランサムウェア製品

Posted on 2017年7月7日金曜日17:23 by
※このブログ記事はTEMASOFT社の公式ブログを翻訳したものです。
アンチウィルスソリューションを導入しているにも関わらず、ランサムウェアに感染してしまう理由については、意見の分かれるところです。この件について専門家の意見は様々で、アンチウィルスはもう時代遅れで「ランサムアンチウィルス」のような何か別のものに進化しなければならないという人もいれば、複数のソリューションや活動を含む多層的なランサムウェア保護戦略を提唱する人もいます。

ほとんどのセキュリティベンダーの製品はランサムウェア感染予防に役立つ機能を持ってはいますが、適切なソリューションの提供には至っていません。パッチ管理、ログ管理、ファイル監視、ユーザー行動分析などは、(程度は様々ですが)特定の状況下においては役に立ちますが、それ自体でランサムウェア感染を保護するものではありません。例えば、適切なパッチ管理があればWannaCryの感染拡大を止めることができましたが、オリジナルのWannaCry感染やその他のランサムウェアの感染は停止しません。同様に、ログ管理、ファイル監視、ユーザー行動分析は、ランサムウェア感染を検出するのに役立つかもしれませんが、速度は十分ではなくランサムウェア感染を停止させることはできません。

ランサムウェアの一番の問題は、一般的なウィルスと同じように設計されていないという事実です。ランサムウェアの動作を一般に公開することはしませんが、ランサムウェアはユーザーの振る舞いを非常にうまく模倣しているということは言えます。:ファイルを読込み、ディスクに情報を書き込み、ファイルを削除します。私たちがいつもやっていることと同じです。新しい亜種の中には、脆弱性を悪用して増殖するワームのような能力を持つものもあります。これらのウィルスには通常難読化技術が組み込まれているため、従来型アンチウィルスによる検出を回避することができ、リバースエンジニアリングを非常に困難にします。アンチウィルスソリューションは様々な技術によりランサムウェア保護を提供し悪意のあるプロセスを実行前に停止させますが、ランサムウェア(特にゼロディ亜種)はすべてをすり抜ける可能性があります。

従来型アンチウィルス

  • シグネチャーベースの検出はゼロディ脅威やカスタム亜種による標的型攻撃を検出しません。また、常に更新が必要であり、攻撃が拡大し始めてからAVチームがシグネチャーを学習しエンドユーザーがアンチウィルスシグネチャーデータベースを更新するまでに大きな時間のずれが生じます。この間は脆弱です。しかし、シグネチャーベースの検出は、既知のランサムウェアがファイルに損害を与える前にこれを停止させます。このようにしてランサムウェア保護を提供します。
  • サンドボックス分析もAVソリューションで使用される手法です。オペレーティングシステムをシミュレートする制御環境下でランサムウェアを実行してアクションを記録し、AVソリューションが実際のオペレーティングシステム上でプロセスを実行するかどうかを決定します。しかしながら、先進的なランサムウェアは環境認識能力を持っており、サンドボックスや仮想環境を検出してサンドボックス内では何もしません。この技術を回避することができます。
  • ヒューリスティックスにより、動作に基づいてマルウェアを検出することができます。この方法はルールと高度なアルゴリズムによる統計的重みを介した機械学習を含みます。しかし、これは適切な訓練が間に合った場合のみ機能します。アンチウィルスソリューションは、ランサムウェアの振る舞いを通常のユーザーの振る舞いと区別することができないため、ランサムウェアに関連する振る舞い情報を抽出する技術を持ちません。このため、ヒューリスティックスは、ランサムウェアをうまく学習することはできません。しかしながら、マルウェアやワームのような能力を使うランサムウェアに対してはうまくいくかもしれません。
  • 自動リバースエンジニアリング - 通常、ヒューリスティックスの一部であり、ランサムウェアのソースコードまたはそのメモリ内アクティビティを逆コンパイルして解析します。しかし、ほとんどのランサムウェアには、難読化と保護技術が含まれているため、アンチウィルスソリューションはこの技術を使用することができません。高度なランサムウェアを扱う場合にできることはわずかです。
  • アプリケーションホワイトリスト登録 - この方法では許可されたアプリケーションのみを実行することができ、他のすべてのプロセスを効率的にブロックすることができます。ただし、許可されたアプリケーションを使用して暗号化プロセスを実行するスクリプトベースのランサムウェア(コマンドラインスクリプト、MS Wordマクロ)が存在します。これらはホワイトリスト技術をすり抜けます。次に、サービスホストプロセスのようなシステムプロセスにフックするファイルレスランサムウェアも存在します。これはアプリケーションホワイトリストに関わらず実行されてしまいます。最後に、ブラウザなど許可されたアプリケーションの脆弱性を悪用するランサムウェアもあります。これもこの技術をすり抜けます。アプリケーションホワイトリストは、ランサムウェア攻撃から保護できる場合もありますが、ランサムウェアの種類によっては停止させることができないものもあります。

専用アンチランサムウェア

アンチウィルスに対して、アンチランサムウェアソリューションはランサムウェアの悪意のある活動の検出を試みることによって、ランサムウェア攻撃から保護します。このアプローチには様々な技術が組み込まれており、正確性とゼロディ脅威に対して従来型アンチウィルスより良い結果が得られます。しかし、一部のファイルはランサムウェアの検出から停止までの間に暗号化されてしまいます。アンチランサムウェアソリューションの中には、この欠点を解消するために、データ保護と検出プロセス中に失われたファイルを復旧させる機能を提供するものがあります。高度なランサムウェア保護ツールは、リアルタイムのバックアップ機能と侵入不可能なリポジトリでのデータ保護機能を提供し、ランサムウェア攻撃が成功してしまった場合であってもファイルを復旧させることができます。これらの点において、専用のアンチランサムウェアソリューションは従来型のアンチウィルスより優れています。

最善の結果を得るために、アンチウィルスとアンチランサムウェアの両方を併用利用することを推奨します。アンチウィルスは実行前に既知の脅威を排除することでランサムウェア感染の機会を減らします。アンチランサムウェアは特にゼロディランサムウェア亜種に対して効果があります。

TEMASOFT Ranstopにできること

TEMASOFT Ranstopは高精度のファイルアクセスパターン解析に基づいて現在および将来のランサムウェアを検出する専用のアンチランサムウェアソフトウェアです。リアルタイムでファイルを保護しており、マルウェア攻撃やユーザーの誤操作によって損失してしまったファイルを復元することができます。

詳しくは製品紹介ページ・製品ガイドをご参照ください:

https://www.jtc-i.co.jp/product/ranstop/ranstop.html
https://www.jtc-i.co.jp/support/documents/presentation/productguide_ranstop.pdf

ダウンロード(評価版)

TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。

https://www.jtc-i.co.jp/support/download/

お問合せ

購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。

https://www.jtc-i.co.jp/contact/scontact.php