アンチランサムウェアとは?

, , , ,

アンチランサムウェアとは?

Posted on 2017年8月8日火曜日17:30 by
※このブログ記事はTEMASOFT社の公式ブログを翻訳したものです。
アンチランサムウェアとは、今日のサイバーセキュリティにおける最大の脅威の1つであるランサムウェアに対抗し、ユーザーデータを保護するために作られた技術です。ランサムウェアはどちらかといえば新しいタイプの脅威であり、コミュニティがランサムウェアを典型的なマルウェアとは異なるより危険な新しい脅威として認識するまでにしばらく時間がかかりました。

当然のことながら、人々は過去あらゆる種類の脅威が発生したときと同じようにアンチウイルスソリューションがこの新しい脅威に対処することを期待していました。しかし、標準的なウィルス対策ソリューションは、ランサムウェアを検出したり停止させたりするのに有効ではないことがすぐに証明されました。悪意のあるプロセスを先手を打って(プロアクティブに)停止させる伝統的なアンチマルウェアのアプローチは、ランサムウェアに対しては失敗します。これはランサムウェアがユーザーの動作を非常にうまく模倣するためです。同時に、ランサムウェアはサンドボックス、アプリケーションコントロール、ヒューリスティックスなどのアンチウィルス技術を回避する機能を備えた複雑なパッケージになっています。シグネチャーベースの検出だけでも既知のランサムウェアを停止させることはできますが、残念ながら新種やカスタム亜種に対しては無力です。

このような状況において、新たにアンチランサムウェア専用の技術が登場しました。アンチランサムウェアはランサムウェアがシステム上で何をするかに基づいて、(ランサムウェアが開始する前に先手を打ってではなく)反応して(リアクティブに)検出します。アンチランサムウェアソリューションに特化した主な機能には以下のようなものがあります:

ランサムウェアの検出と反応(リアクション)

ランサムウェアを反応的に(リアクティブに)検出するアプローチでは、より正確な検出プロセスが可能になります。シグネチャーに頼らず新種やカスタムランサムウェア亜種を停止させることができます。一方、この振る舞い分析技術はランサムウェアの実行を許可します。これはつまり、悪意のあるプロセスが停止・隔離されるまでの間に、一部のファイルが暗号化される可能性があることを意味します。一部の実装には、マスターブートレコード(MBR)を保護して独自のコードを起動しようとするランサムウェア攻撃から保護するものもあります。振る舞い分析とおとりファイルを配置してこれらを観察するハニーポット検出技術を組み合わせた検出技術を使うものもあります。ソリューションのなかには後者のみに依存しているものがありますが、ランサムウェアを停止させる有効性には疑問の余地があります。

アンチランサムウェア専用ソフトウェアは、ランサムウェアペイロードを停止・隔離するとともに、影響を受けたコンピューターを停止したりユーザーや管理者へインシデントを通知したり感染したマシンをネットワークから切り離したりするなど、IT管理者がインシデントに対応できる機能も提供します。

基本的に、ランサムウェアの検出率はアンチランサムウェアソリューションの方が従来のアンチウィルスソリューションよりもはるかに優れています。また、ランサムウェアインシデントへの効果的な対応が可能であり、ダウンタイムやデータ損失を最小限に抑えることができます。擬陽性(false-positive)はある程度は許容されますが、(ゼロに近い)低いレベルを維持するソリューションはほとんどありません。

ファイル変更に基づくリアルタイムバックアップ機能

検出はランサムウェアが実行されてから数秒または数分後に行われるため、アンチランサムウェア技術はランサムウェアプロセスが停止する前に暗号化されたファイルを復旧するための手段を提供する必要があります。このため、一部のソリューションには、暗号化プロセスが停止されるとすぐに暗号化されたファイルを復旧するように設計されたリアルタイムバックアップメカニズムが含まれています。

実装はさまざまですが、一般的にファイルの変更を分析し、疑わしい方法で操作されたファイルのコピーを作成します。いくつかのソリューションは、この目的のためにWindowsシャドウコピー機能を使用しますが、多くのランサムウェアファミリーはこの方法でファイルを復旧できないようにするため、この実装には重要なリスクがあります。

ファイル保護機能

アンチランサムウェアソリューションのなかには、ランサムウェアの検出機能と検出プロセス中に影響を受けたデータの復旧機能に加えて、ローカルハードドライブ上の保護領域にユーザーファイルのコピーを作成することでランサムウェアからファイルを保護するものがあります。この場合、ランサムウェアがファイルの攻撃に成功したとしても、保護領域にアクセスすることはできず、結果的に保護されたコピーを攻撃することができません。万一ランサムウェア攻撃が成功した場合でも、技術的にはデータを復旧することができます。

TEMASOFT Ranstopにできること

TEMASOFT Ranstopは高精度のランサムウェア検出とファイル保護機能を組み合わせたアンチランサムウェアソリューションです。ランサムウェアインシデントに伴うダウンタイムを最小化し重要ファイルの損失を防ぎます。Ranstopはランサムウェアを数秒でブロックし、被害に遭ったファイルを自動復旧し、 同時にデータを安全に保つことができます。たとえランサムウェア攻撃が成功してしまった場合であってもデータを復旧することができます。

詳しくは製品紹介ページ・製品ガイドをご参照ください:

https://www.jtc-i.co.jp/product/ranstop/ranstop.html
https://www.jtc-i.co.jp/support/documents/presentation/productguide_ranstop.pdf

ダウンロード(評価版)

TEMASOFT Ranstopには評価版(15日間、機能制限なし)があります。ぜひお試しください。

https://www.jtc-i.co.jp/support/download/

お問合せ

購入前のTEMASOFT Ranstopについてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。

https://www.jtc-i.co.jp/contact/scontact.php