全5843文字
エンドポイント*1セキュリティーはかつてアンチウイルス(Anti-Virus、AV)*2製品が主流だった。しかし2010年代になると、高度な脅威に対抗するため横展開などの攻撃活動を把握できるEDR(Endpoint Detection and Response)*3製品が登場。侵入型のランサムウエア攻撃などが増えるにつれてEDRを導入する組織が増えた。こうした事情から、攻撃者はEDRを回避する手口を模索している。
そこで今回は、最新のEDR回避手法の中から特に注目すべき10種の手口を厳選して解説する。日々進化する攻撃者の戦術を理解することは、対策の「死角」を把握する上で重要である。
正規ドライバーの脆弱性を悪用
ハッカーフォーラム*4でもAVとEDRの回避は注目度が高い話題だ。例えばある攻撃者が販売する「AV/EDR disabler」は、AVとEDRを終了させずに検知だけを無効化するとうたう(図1)。対応製品には、主要なセキュリティーベンダー名がずらりと並ぶ。販売価格は月額1500ドル(約22万5000円)で、最低注文額は7500ドル。昨今の侵入型攻撃では、こうした「回避ツール」が必ず持ち込まれる。
図1●ハッカーフォーラムでAV/EDRの無効化ツールが販売される
画像は実際のハッカーフォーラムの様子。AV/EDR回避は注目度の高い話題の1つで、無効化ツールの対応製品には主要なセキュリティベンダーの名が並ぶ。こうした回避ツールはここ数年で急速に増えた。特に昨今の攻撃では、この種のツールが必ず持ち込まれる。
[画像のクリックで拡大表示]
