ランサムウェア対策：NDR＋AIで攻撃を特定する方法

最初のトロイの木馬は、1989年にフロッピーディスクに入れられて世界中の研究機関に送られました。それ以来、恐喝を目的としたソフトウェアの攻撃は、残念ながら多くの企業にとって当たり前のものとなっています。全く無害なプログラムを装った悪意のあるコンピュータソフトウェアは、個人ユーザー、企業、政府を問わず、何十億円もの損害を与えてきました。

トロイの木馬やワームなどのマルウェアは、被害を受けた人に大きなダメージを与えますが、ランサムウェアは他のマルウェアよりも狡猾です。それは効果的な偽装と恐喝という性質を持ち、一見目立たないものの深刻な問題を引き起こします。ランサムウェアに感染した人は、通常、デジタル資産を全部失うことになります。

そんなランサムウェアへの対策として、AIベースのソフトウェアが解決策になるかもしれません。人間の目から逃れたものも、人工知能によって検知され、対応できるのです。実際、ランサムウェアから身を守るにはどうすればいいのでしょうか？また、AIはどのようにしてデジタル侵入者をリアルタイムで迅速に見つけ出し、無害化することができるのでしょうか？‍

‍

ランサムウェア：時間との戦い

ランサムウェアの侵入プロセスは、他のマルウェアと同様に、ネットワークの弱点を突いてコンピュータやサーバーにアクセスするところから開始されます。ランサムウェアがネットワークに侵入した後は、時間との戦いです。攻撃を受けた時に、データを取り戻すために身代金を支払いたくないのであれば、できるだけ早く被害を食い止めることが求められます。ちなみに、ランサムウェアを操る攻撃者は、WannaCryで有名になったように、最近ではビットコインでの支払いも受け付けています。 

ネットワーク管理者にとって特に厄介なのは、ランサムウェアに感染した場合の取り返しのつかない被害です。そのため、ランサムウェアの攻撃は、甚大なデジタル災害とみなされることが多いのです。2020年だけでも、データの窃盗、スパイ活動、妨害行為により、2,200億ユーロ以上の損害が発生しました。さらにドイツでは約88％の企業がサイバー攻撃の標的になったことがあるという調査結果があります。効果的なランサムウェア対策は、すべての企業にとって必須であり、IT部門にとっての課題でもあります。また、最近では個人のシステムを標的としたランサムウェアの攻撃が増えているため、個人のお客様にも当てはまる問題となっています。

ランサムウェアの防御を困難にしている要因の一つは、マルウェアがシステムにアクセスする方法にあります。ランサムウェアは、比較的無害な名前をしていたり、電子メールの添付ファイルの中に隠れていることが多いものです。そして、重要なファイルを感染させようとするランサムウェアは、通常、マルウェア対策を回避するようにできています。このように見極めが非常に困難であることから、電子メールを開いたり、添付ファイルをクリックしてしまったユーザーだけを責めても解決しません。 

サイバー犯罪者の手口は非常に巧妙になっています。偽装メールだけでなく、ランサムウェアをネットワークに侵入させる方法も数多く登場しています。NFCのような革新的な技術は、一見すると大きな進歩のように見えますが、実はマルウェアの新たな侵入口にもなっています。現在のところ、ランサムウェアの侵入を阻止する効果的な方法はありません。代わりに、ユーザーは感染した際の対応が求められます。 

エンドユーザーや管理者は、ランサムウェアをどのように把握すればよいのでしょうか。これまで、サイバー犯罪との戦いでは、一貫したパターンが用いられてきました。それは、攻撃者が新しいマルウェアを作成し、それを展開します。セキュリティチームが不審な動きに気づき、問題のファイルを隔離。その後、サイバーセキュリティ部門の叡智を集結させ、効果的な対策を考え出します。その結果、ファイアウォールに新しいルールやポリシーが組み込まれることになるという流れです。

このネコとネズミの追いかけっこのような関係は、もう30年以上も続いています。しかし、AIがサポートするシステムが攻撃を事前に検知できるとしたらどうでしょう。自動化されたランサムウェア対策ツールが、早い段階でマルウェアの仮面を剥がし、被害が出る前から効果的に対策できるとしたら、どうでしょうか。

‍

NDRがランサムウェア攻撃を解明する方法

ここで、NDR（Network Detection and Response）技術のアプローチを紹介したいと思います。NDRは、未認証または不審なネットワークアクセスを自動的に検索する、効果的なサイバーセキュリティソリューションです。最適な成果を得るために機械学習を利用することで、アクティビティを観察し、それがネットワークの通常の振る舞いパターンと一致するかどうかをチェックします。

ネットワークの運用者や管理者にとってのメリットは明らかです。データの漏洩や抜け道を探すために投資する時間を削減できます。さらに、一度サイバー攻撃の被害に遭ってしまうと、それを修復するのは労力がかかるだけでなく、金銭的にも精神的にも負担がかかります。AIを使ったNDRソフトウェアが将来的に引き継ぐことになっているのは、まさにこの側面の作業です。論理的に考えると、ITセキュリティ担当者や管理者は負担から開放されることになります。

NDRは、適切な設定を行うことで、効果的なランサムウェア対策を行うことができます。多くの場合、不正アクセスを発生直後に認識することができます。認識するためには、ソフトウェアはデータベースからの振る舞いパターンを利用します。そして、疑わしい振る舞いがある場合、NDRソフトウェアは次のステップを注意して観察します。そして悪意のある振る舞いが検知されると、ソフトウェアはユーザーに通知する、もしくは疑わしいゲストを自動的に隔離することで警告を発します。

Vectraは、デジタル脅威を早期に検知して対応する、革新的で効果的なソフトウェアを提供しています。ランサムウェアソリューションは、企業や個人を詐欺行為から効果的に保護し、不審なアクセスに対してユーザーに防御のための警告を行います。このようにして、攻撃者に屈することなくお客様のデータを保護するのです。

‍

このブログ記事は、「Ransomware protection: How to identify attacks with NDR & AI」の翻訳版となります。

‍