このような状況を想像してください。あなたの保護ソフトウェアは完璧に動作しています。システムは保護され、定義ファイルも最新、振る舞い分析も有効です。ところが突然、ネットワーク全体のファイルが暗号化され始めます。バックアップが削除され、身代金要求のメモが各マシンに現れます。セキュリティソフトには何も表示されません。警告も検知も、ブロックされたプロセスもありません。どうしてこんなことが起こるのでしょうか?
これは仮定の話ではありません。実際にランサムウェアの運用者が高度な保護システムを回避するために積極的に使っている攻撃手法です。この攻撃は、セキュリティソフトウェアの基本的な前提、つまり「悪意のあるプロセスと攻撃されるファイルが同じマシン上にある」という点を突いています。この前提が崩れると、従来の防御は機能しなくなります。
Malwarebytesのランサムウェア対策は複数の防御レイヤーで構成されています。AIによる分析、機械学習モデル、シグネチャ検出、実行時サンドボックス、エクスプロイト緩和、ウェブ保護などです。それぞれのレイヤーが異なる段階で脅威を阻止します。アンチランサムウェアの振る舞いレイヤーは、実際のファイル暗号化の挙動をリアルタイムで監視します。Malwarebytesは全ての防御レイヤーを継続的に強化しています。
この記事では、私たちのアンチランサムウェア振る舞い監視技術における最近のイノベーションについて解説します。その結果、ファイル監視、ネットワークセッション追跡、振る舞い分析、リアルタイム脅威相関の革新を取り入れた包括的な強化が実現しました。
従来の保護が失敗する理由
なぜネットワーク経由のランサムウェア攻撃がこれほど効果的なのかを理解するには、この技術が通常どのように機能しているかを知る必要があります。アンチランサムウェアコンポーネントはアプリケーションとファイルシステムの間に位置し、すべてのファイル操作を完了前に監視できます。
プロセスがファイルを開く、読む、書き込むなどの操作を試みると、特別なコールバックが発動します。これはセキュリティチェックポイントのようなもので、セキュリティドライバーが何が起きているかを検査し、その操作を許可するかどうかを判断できます。ソフトウェアはパターンを見ます:このプロセスは多数のファイルを急速に暗号化しているか?不審な拡張子を追加しているか?バックアップコピーの削除を試みているか?これらの振る舞い指標が組み合わさることで、ランサムウェアだと判断されます。
このアーキテクチャは、ランサムウェアのプロセスと暗号化されるファイルが同じマシン上にある場合は非常に効果的です。ドライバーはプロセスを監視し、その挙動を追跡し、脅威プロファイルを構築し、重大な被害が出る前にブロックできます。
しかし、ランサムウェアが別のデバイスで実行され、他のデバイスのファイルを攻撃した場合はどうでしょうか?たとえば、攻撃者が保護されていないデバイスや、最新の保護がないレガシーデバイス、管理されていないゲストデバイスを侵害し、それを使ってネットワーク共有を通じて保護されたシステムのファイルを暗号化する場合です。あなたのマシンには不審なプログラムは動作していません。ただ誰かがネットワーク越しにファイルへアクセスしているだけに見えます。これは日常的に起こることです。
これがランサムウェアにとって絶好の隠れ場所となります。攻撃側のデバイスにはセキュリティソフトがインストールされていないかもしれません。ファイルが暗号化されているあなたのメインPCでは、セキュリティソフトはファイルの変化を検知しても、どのプログラムが原因かを特定できません。悪意のあるプログラムとファイルの間のつながりが隠されているのです。
複数のランサムウェア亜種がこの手法を採用しています。彼らはネットワークフォルダや共有ドライブを標的にする特定のコマンドを使用します。これは無差別な攻撃ではありません。リモート暗号化によってセキュリティソフトを回避するよう慎重に設計されています。
これらは偶発的な攻撃ではありません。リモート暗号化を通じて従来のアンチランサムウェア保護を回避するために、慎重に設計されています。
2段階の保護アーキテクチャ
この問題を解決するには、2つの異なる攻撃ベクトルに対処する必要がありました。パート1はローカルプロセスがリモートファイルを攻撃する場合、パート2はリモートプロセスがローカルファイルを攻撃する場合です。それぞれ異なる技術的アプローチが必要でした。
パート1:ローカルからリモートへの攻撃の検知
プログラムがネットワークや共有フォルダ上のファイルにアクセスしようとした際、Malwarebytesはその挙動が不審かどうかを確認します。プログラムが多数のファイルを急速に変更し、身代金要求のメモを作成している場合、システムはリアルタイムで脅威スコアを構築します。
重要なイノベーションは、Malwarebytesがローカルとネットワークのアクティビティを別々に追跡する点です。プログラムはあなたのPC上のファイルを安全に操作しつつ、ネットワーク経由で他のデバイスのファイルを攻撃しているかもしれません。両方を監視することで、誤検知なくランサムウェアを捕捉できます。Malwarebytesがランサムウェアの挙動を検知した場合、悪意のあるプログラムを即座にブロックし、ファイルが暗号化される前に攻撃を阻止します。
パート2:リモートからローカルへの攻撃の検知
2つ目の課題はより困難です。もしランサムウェアが別のデバイスで実行され、あなたのファイルをリモートから攻撃している場合、あなたのPC上にはブロックすべき悪意のあるプログラムが存在しません。
私たちの解決策はネットワーク接続の追跡です。ファイルがネットワーク上の他のデバイスからアクセスされると、Windowsはどのデバイスが接続しているかの情報を保持します。Malwarebytesはこの情報を取得し、多数のファイルを急速に変更する、不審なファイル拡張子を追加する、身代金要求のメモを作成するなどの不審な挙動を監視します。別のデバイスからの攻撃を検知した場合、その特定の接続によるファイルアクセスをブロックします。
ランサムウェア対策のイノベーション
私たちの実装は専用コンポーネントを通じて動作します。このアーキテクチャはパフォーマンスとセキュリティの両面で不可欠です。すべてのファイル操作が私たちのフィルターを通るため、システムの応答性に影響を与えないよう、数マイクロ秒で判断処理を行う必要があります。
複数の最適化レイヤーを実装しました。まず、ランサムウェアと無関係なファイル操作を除外します。読み取り専用でファイルを開く操作は脅威ではないため、詳細な分析を省略します。メタデータの照会のみの操作はWindows上で頻繁に発生するため、ランサムウェア検知の対象外とします。
分析が必要な操作については、高度なインジケーターの有効期間(TTL)システムを導入しました。振る舞い指標は時間経過とともに減衰します。これにより、ファイル同期ツールやバックアップソフトなど正当な活動による誤検知を防ぎます。
ネットワークセッション追跡コンポーネントは、Windowsネットワーク機能との深い統合が必要でした。Windowsがネットワークファイルサービスに使用する内部構造にアクセスし、セッション情報を抽出します。除外システムはIPv4、IPv6、ホスト名、CIDR表記のネットワーク範囲に対応しています。
この保護が他と違う理由
Malwarebytesのアプローチが他のソリューションと異なる点はいくつかあります。
第一に包括性です。多くのセキュリティベンダーは部分的にしか対処していません。リモートプロセスがローカルファイルを攻撃する場合や、ローカルプロセスがリモートファイルを攻撃する場合など、1台のエンドポイントが侵害されると共有リソースが暗号化されてしまいます。Malwarebytesは両方のベクトルに対応しています。
第二に精度です。多くのソリューションは脅威を検知するとネットワーク接続全体をブロックしたり、アカウントをロックしたりします。Malwarebytesはより精密です。不正な接続のみをブロックし、同じデバイスからの他の活動は通常通り動作します。ランサムウェアのアクセスだけが阻止されます。
第三にパフォーマンスです。Malwarebytesはコンピューターを遅くすることなく効率的に動作します。
第四に実証された保護です。この技術は多様な企業や家庭のネットワークでテスト・導入され、実際の状況で効果が証明されています。
より広範な意味
この保護は単に1種類のランサムウェア攻撃を阻止するだけではありません。ネットワーク対応型セキュリティの新しい考え方を示しています。従来のアプローチは各デバイスを個別に扱っていましたが、攻撃者がネットワーク接続を利用して脅威を拡散する場合には通用しません。セキュリティソリューションは、ネットワーク上のどのデバイスからでも攻撃が来て、アクセス可能なファイルが標的になる可能性があることを理解する必要があります。
私たちが構築した技術は、ランサムウェアの阻止以上のことが可能です。ネットワーク接続を追跡し、不審な挙動を監視するこのシステムは、データの窃取や本来アクセス権のないファイルへの不正アクセスなど、他の脅威の検知にも役立ちます。
攻撃者は手法を進化させ続けます。今見られる攻撃はさらに高度化していくでしょう。通常のコンピュータメンテナンスやファイル管理を装うかもしれません。私たちの保護は適応するよう設計されています。既知の攻撃を探すのではなく、不審な振る舞いパターンを監視するため、常にアップデートしなくても新しい亜種を検知できます。
ランサムウェアは進化し続け、攻撃者は常に新たな回避方法を見つけています。Malwarebytesは本当のイノベーションで先を行くことを約束します。この強化は、多くのセキュリティプログラムが手遅れになるまで対処しない重大なギャップを埋めるものです。
セキュリティソフトを選ぶ際や現状の保護を見直す際には、「ネットワーク共有を介して拡散するランサムウェアにも対応しているか?」と自問してください。この手法を使うランサムウェア攻撃が増加している今、ますます重要になっています。
私たちは脅威を報告するだけでなく、駆除もします
サイバーセキュリティリスクは見出しだけで終わらせましょう。脅威をデバイスから遠ざけるために、今すぐMalwarebytesをダウンロードしてください。
