新人SEからVision Oneマスターに、私はなる！ #1 進化するマルウェアとその対策：EDR/XDRの重要性

1.はじめに

まずは、サイバーセキュリティにおける理想の状態をお伝えします。
サイバーセキュリティにおける理想の状態とは「デジタルインフォメーションを安全に交換できること」です。
弊社ではこのような世界の実現に向けて継続したイノベーションに取り組んでいます。

ただ、現状としては多くのサイバー攻撃が確認されています。
また、マルウェアやサイバー攻撃の高度化に伴い、機密データの保護とセキュリティの重要性がかつてないほど高まってきています。

図1：ランサムウェア検出台数
引用：2022年のサイバー攻撃事例から振り返る　サイバーリスク＝ビジネスリスク

そのため、企業（特に情報システム担当者）は、サイバーセキュリティ対策の最新動向を常に把握しておく必要があります。
しかし、把握するにしても何から手を付ければいいかわからない方も多いのではないでしょうか。
このブログ記事を読むことで少しでもイメージをつけていただければ嬉しいです。

次の項以降では、セキュリティに関する最近の動向について説明し一例としてEMOTETマルウェアを取り上げます。
また、従来のエンドポイント保護としてスタンダードであったEPP（Endpoint Protection Platform）/NGAV（Next Generation Anti-Virus）、ソリューションや最新の保護ソリューションとして注目を浴びているEDR（Endpoint Detection and Response）/XDR（Extended Detection and Response）について、それぞれの用語説明に加え、特徴や両者の比較をしながら詳細を解説していきます。

2.セキュリティに関する近況

現在、サイバーセキュリティの状況として、下記のようなトレンドや課題が挙げられます。

●サイバー脅威の進化
・攻撃者によるサイバー攻撃は日々高度化・巧妙化しています。
・様々なマルウェアにおいて、エンドポイント保護ソフトウェアの穴を突くよう改造されています。

●攻撃対象の増加
・エンドポイントデバイス（PCやスマートフォンなど）の増加。
・接続先の多様化（社内ネットワークやクラウドなど）によりターゲット数が増加。

●デジタル化によるインフラの複雑化
・企業や組織のデジタル化が進むことにより、セキュリティ管理が煩雑になります。
・クラウドサービスやIoTデバイスの導入が新たなセキュリティ課題を生む要因となります。
※IoT(Internet of Things)デバイス：モノのインターネット、スマート家電などを指す。

攻撃者はこのような機会を逃さず、あの手この手を使って企業ネットワークのアクセス権などを手に入れます。

図2：様々な手法で攻撃

攻撃者が様々な情報を盗むための手段の一つとして、マルウェアを利用することが挙げられます。
ここでは、代表的なマルウェアであるEMOTET（エモテット）について解説します。

3.代表的なマルウェアについて（EMOTET）

マルウェアとは、ウイルスやトロイの木馬といった、ユーザのデバイスに攻撃し不利益をもたらす悪意のある不正なプログラムやソフトウェアを指す言葉です。
その中でも特に危険なマルウェアの一つがEMOTETです。

EMOTETはメールの添付ファイルやURLを通じて感染し、情報漏えいや更なるマルウェアの感染などの被害をもたらします。

図3：EMOTETによる攻撃の流れ

日本でも多くの企業や組織が被害にあっており、ここ数年で幾度となく活動が観測されています。^※1

EMOTETは、電子メール経由で拡散するマルウェアです。
取引先などからの「返信」や「転送」を装った攻撃メールにより、ユーザはその攻撃メールを信用してしまいます。
その結果、添付ファイルや本文中のURLリンクからダウンロードされるOfficeファイルのマクロを実行させることで、感染を拡大させるという巧妙な手法を用いています。^※2

このような「巧妙なマルウェア」からの攻撃には、EPP/NGAVだけでなくEDR/XDRなどの高度なセキュリティ対策も採用することが効果的です。
次はEPP/NGAVの概要とEDR/XDRの重要性について解説します。

参考
※1：Emotet（エモテット）と呼ばれるウイルスへの感染を狙うメールについて（独立行政法人情報処理推進機構）
※2：EMOTET 概要から対策まで

4.EDR/XDRの重要性

これまで多くの企業や組織は、EPPやNGAVと呼ばれるソリューションを導入して、デバイスをサイバー攻撃から守ってきました。

EPPとは、アンチマルウェアやファイアウォール機能を備えており、既知のマルウェアや攻撃パターンを防御することができるソリューションです。
また、NGAVとは、ファイルなどの挙動を監視することで未知の脅威からの攻撃にも対処できるソリューションです。

表1：EPPとNGAVについて

しかし、先ほどもお伝えしたようにサイバー攻撃は日々進化していることから、EPP/NGAVのみの利用では下記のような課題があります。

・怪しいファイルやプロセスがグレーイベントとして検知をすり抜ける可能性がある
・グレーイベントの動きを監視する必要がある
・被害にあった際、調査や全体像の把握に高度なスキルと時間を要する

このような課題を解決するため、EDR/XDRの仕組みが誕生しました。

EDRとは、エンドポイントの活動を継続的に監視・分析し、潜在的な脅威を特定・対応するためのセキュリティソリューションです。
デバイスの動作や通信を監視し、異常な挙動や攻撃の兆候を検知します。
感染したデバイスを隔離するなど、遠隔操作機能を使用して被害の拡大を防ぎます。 

XDRとは、EDRの機能に加えて、ネットワークやクラウドなどのほかのレイヤーにおけるサイバー攻撃の検知や対応を支援するソリューションです。
EDRを進化させたもので、エンドポイントだけでなく、ネットワークトラフィック、クラウドサービス、その他のデータソースにも対象を広げています。

XDRは、複数のレイヤーにおける情報を相関分析し、より高度な攻撃や隠れた攻撃を検知します。
EDRの特徴に加え、クライアント/サーバを横断した相関分析により、攻撃の流れやその全体像を理解しやすくすることで被害の拡大を防ぎます。

表2：EDRとXDRについて

弊社でもEDR/XDR製品として「Trend Vision One™」というサービスを展開しています。

詳細は次回以降の記事でお伝えしますが、特に通常EDR/XDRの導入ハードルとなる「アラート対応、優先順位付けなどの運用の難しさ」による運用負荷をできる限り低減するような様々な工夫や機能が施されています。

ぜひEDR/XDR製品をご検討の際はご確認ください。

次項では、EPP/NGAVとEDR/XDRの違いについて解説します。

5.EPP/NGAVとEDR/XDRの比較

繰り返しとなりますが、長年にわたりエンドポイント保護のスタンダードとして使用されてきたEPP/NGAVは、マルウェア侵入の防止に焦点を置いてきました。
しかし、サイバー脅威の進化や攻撃対象の増加といった現代の課題に対応するためには、EPP/NGAVのみの対策では不十分となり、EDR/XDRも利用することが望ましくなっています。

EDR/XDRソリューションは、継続的な監視、分析、インシデントレスポンス機能を提供します。
従来のEPP/NGAVが見逃していた高度な脅威や未知の脅威を検出し対応するための手段として役立ちます。

では、EDR/XDRを導入すればEPP/NGAVは必要なくなるのでしょうか。
弊社としてはそのように考えていません。どちらも併用すべきであると考えています。以下にその理由を記載します。

理由①：アプローチ方法の違い

EPP/NGAVは脅威が迫ってきてからその脅威に対して侵入を防御したり脅威を削除したりするリアクティブ（受動的）なアプローチをとります。
一方でEDR/XDRは、データを継続的に監視・分析し、高度な脅威を検知・対応することでよりプロアクティブ（能動的）なアプローチをとります。

理由②：担当範囲の違い

EPP/NGAVはマルウェアのネットワークやデバイスへの侵入を防止することに焦点が置かれています。
一方でEDR/XDRは侵入されたグレーなファイルやプロセスを監視し、ログの記録及びインシデント発生時の対応を行います。

図4：EPP/NGAVとEDR/XDRの担当範囲

理由③：インシデントの根絶には両方必要であるため

そもそも攻撃を成立させない/インシデント発生後の根絶の両方を目指します。

図5：EPP/NGAVとEDR/XDRの併用の重要性

図6：各製品の担当領域

6.まとめ

脅威の高度化・巧妙化し、その頻度も増加の一途をたどっています。
このような背景からEDR/XDRソリューションの必要性が高まっていることをお話ししました。

ITシステム管理者はEDR/XDRのような最新のセキュリティ情報を知ることでセキュリティソリューションを選択する際、より組織に適した意思決定を行うことができます。
このブログ記事がその一助となれば幸いです。

最後に、セキュリティの最新動向を把握し、EDR/XDRのような高度な対策を実施することで、マルウェアやサイバー攻撃による日々進化する脅威から組織を守ることができます。
手遅れにならないよう、積極的に組織のセキュリティや保護製品についてご検討ください。
インシデントを根絶することで少しでも理想の状態に近づけましょう！

弊社製品紹介ページへは下記リンクから飛べます。

次回予告

今回はサイバーセキュリティにおける近況とEDR/XDRの重要性についてお話ししてきました。
このブログシリーズでは、弊社のEDR/XDR製品である「Trend Vision One™」の機能や使い方に関する記事を順次公開する予定です。

次回の記事では「Trend Vision One™」の特徴と利点についてさらに詳しく説明します。