企業ネットワークでは、機密性の高いファイルを個々のワークステーションには置かず、マップされたネットワークドライブ経由で社員がアクセスする共有サーバーに保管するのが一般的です。この構成は、ランサムウェアの攻撃者にとって狙う価値のある標的を提供してしまいます。1台の侵害されたノートパソコンから、社内の別の場所にあるサーバー上のファイルを暗号化し始めることが可能で、その暗号化処理は通常のファイル共有トラフィックとしてネットワーク上を流れます。
エンドポイント検知ツールは、自身が稼働しているマシンを監視します。しかし暗号化がリモートのファイルサーバー上で行われる場合、サーバー側で目に見える作業はほとんど発生しません。サーバーはクライアントから読み取り・書き込みコマンドを受け取り、通常の正規ユーザーへの対応と同じようにそれを実行するだけです。サーバー上のエージェントは通常の動作として記録し、クライアント上のエージェントはマップされたファイルにアプリケーションがアクセスしていると認識します。被害は両者の間の隙間で発生し、どちらのエージェントも十分な視界を持てません。
メルボルンのラトローブ大学の研究チームは、ネットワーク経路上で機能する検知手法を開発しました。研究者らは、WindowsのファイルCommon共有プロトコルであるServer Message Blockのトラフィックを読み取り、ランサムウェアが生み出す操作パターンによってそれを検知するフレームワークを設計しました。
プロトコル自身のリズムを読み取る
この手法の核心は、トラフィックを意味のある単位に分割する方法にあります。従来の手法は固定の時間ウィンドウでトラフィックを区切っていましたが、これはトラフィックを生成したネットワークの癖をそのまま取り込んでしまう欠点がありました。ラトローブ大学の手法は、SMBの特性を利用します。クライアントが共有ディレクトリを閲覧するたびに、フォルダやネットワークの種類にかかわらず常に260バイトに収まる小さな列挙パケットを送信します。この2つのパケットの間にある処理すべてを1つの活動単位とし、研究者らはこれを「関心領域(Region of Interest)」と呼んでいます。
SMBの制御パケットは、決まった動作に対して一貫したサイズを持ちます。例えば新規ファイル作成時のレスポンスは、環境が異なっても410バイトで安定しています。読み取り要求、リネーム、ファイルクローズもそれぞれ固有の固定サイズを持ちます。これらのサイズを読み取ることで、クライアントがファイルサーバーに対して何を行っているかを再構築できます。この手法はパケットの中身を一切開かず、エンドポイントにソフトウェアを配置する必要もありません。

実装シナリオ(出典: 研究論文)
数字が示すもの
このフレームワークは3段階で動作します。最初の2段階では、被害者のドライブに書き込まれる身代金要求メモのサイズを含む、既知の侵害指標(IOC)とトラフィックを照合します。各ランサムウェアファミリーは識別可能なサイズのメモを残すため、それが一種の指紋として機能します。これらのチェックを通過したトラフィックは、シグネチャでは検知できないファミリーを捕捉するために訓練された機械学習モデルに送られます。
研究チームが採用したモデル、Random Committee分類器は、テストデータにおいて約99.6%の精度を達成しました。論文の著者らによれば、このモデルはテスト中のすべてのランサムウェアサンプルを検知し、誤検知もまれにしか発生しなかったとのことです。
このフレームワークは、早期の警報発報も目指しています。攻撃開始直後の短い活動ウィンドウだけでも99.44%の精度を記録しました。これは完全なキャプチャで得られた結果と比べても0.25ポイント以内の差に収まっています。ファミリーによってはより早く正体を現すものもあり、Lockbitは実行の約3分の1が経過した時点で識別可能になりました。
見習うべき点
この研究で注目に値する点が一つあります。多くのランサムウェア検知研究は、良性トラフィックが攻撃と容易に区別できるものであるために高い精度を報告しがちです。しかしラトローブ大学の研究チームは、意図的にランサムウェアのような挙動を示す良性サンプルを選びました。彼らはHicryptのようなネットワーク暗号化ツール、TeraCopyによる大量ファイルコピー、暗号化を有効にした状態で動作するWinRARや7-Zipといった圧縮ユーティリティのトラフィックをキャプチャしています。これらの操作は、大量の新規ファイル生成や大量の書き込みといったバーストを引き起こし、ランサムウェアが残すのと同じ痕跡を生み出します。
この結果には、いくつかの限界も存在します。データはクライアント1台・サーバー1台という単一のテストベッドから得られたものであり、多様な本番ネットワーク環境で同様の数値が維持されるかは未知数です。研究チームは、各環境に合わせて特徴量を調整するために、ファイル数やディレクトリ数を報告するサーバー側スクリプトを提供していますが、この手法自体は説明されているのみで、大規模環境での実証はまだ行われていません。
公開されている指標は、平文のSMBv2トラフィックのみを対象としています。Microsoftのシステムはデフォルトで暗号化されたSMBv3方言をネゴシエートするため、暗号化通信に対応する等価な指標は別のデータセットとして論文内で保留されています。この手法はパケットサイズを読み取る方式であるため、そのサイズを隠蔽する暗号化は実運用における現実的な課題となります。
このフレームワークは、マップされたドライブを自律的に暗号化する自動化された攻撃を対象としています。研究チームは、大規模な侵害でよく見られる「ハンズオンキーボード」型の手動操作を必要とするサンプルは対象外としました。この手法は特定のランサムウェアパターンをうまく処理する一方、それ以外は他のツールに委ねる形になっています。
実際の運用面での導入は簡単です。このセンサーはネットワークトラフィックのみを対象に動作し、サーバーやクライアントにソフトウェアを一切配置せず、スパンポート上でパケットを読み取るだけで済みます。これは、ネットワーク接続ストレージやSMBv2を使い続ける旧式システムなど、ホストベースのエージェントでは十分にカバーできないストレージ環境に適しています。共有ストレージへの攻撃の痕跡はネットワーク上を移動するため、経路上に配置されたセンサーが、被害が伝わる経路そのものを監視することになります。
翻訳元: https://www.helpnetsecurity.com/2026/07/02/shared-storage-ransomware-detection-research/