企業を悩ませるマルウェア・ランサムウェア。もしその攻撃を受けた時、いったいどんな事が起きるのでしょうか?今回のコラムではサイバー攻撃の際によくある「兆候」について解説いたします。
■1日7,800件もの不正アクセス
多くの企業が対策を講じる中でも、依然増え続けるサイバー攻撃の被害。今ではいつ・誰がその標的となってもおかしくない状況と言えます。
警視庁のレポートによると、不正アクセス目的とみられるポートスキャンが、1IPアドレスあたり1日7,800件も観測されたとあり、これは攻撃者が、脆弱性のあるユーザーを組織の大小に関わらず「無差別」に探索し、インシデントを引き起こそうとしている事を示しています。
この脅威を防ぐためにユーザーは、常に自分事として最善のセキュリティ対策を打ち続ける必要がありますが、そのための専門技術・人材確保の難しさが、今のサイバー攻撃被害の増加に繋がっていると考えられます。
参考:警視庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
■よくあるマルウェア感染の兆候3選
脆弱性をつかれてしまうと、誰であれ感染してしまうマルウェア。では、不幸にも感染してしまった場合、端末や環境にはどのような兆候が現れるのでしょうか?以下によくあるものを3つほど挙げてみました。
①PCやデバイスの処理動作の重さ
マルウェアに感染すると、他ファイルへの感染、他ユーザーへの感染拡大を実行するため、正規のプロセスに紛れて悪意ある処理を行います。そのため、感染端末のCPUやメモリーに負荷をかけるため、処理動作が重くなることがあります。
②突然のシャットダウン等の予期しない挙動が増加
マルウェアの種類によっては、システムファイルやレジストエントリーの変更、ブートセクターへの感染を必要とする場合があります。それらの変更を実行するために再起動を行うことがあります。
③再起動の際自動的にプログラムがスタートさせるレジストリ、ディレクトリに新たなエントリが加わっている
マルウェアは自身をPCに感染し続けさせるために再起動の際にも「消えない」ための方策を利用します。
故障なのか攻撃なのか?判断に悩まれる場合があるかもしれません。早急に適切な処置を行えるよう、少しでも疑わしい挙動があれば専門家による診断を受けることを強くおすすめします。
■アンチウィルスとどう違う?EDRの有効性
もちろん感染する前にセキュリティを強化する事が大切なのは言うまでもありません。そこでマルウェア対策の打ち手として脚光を浴びているのがEndpoint Detection and Response(EDR)です。ではこのEDR、従来のアンチウィルス(AV)、次世代アンチウィルス(NGAV)と、一体どのような違いがあるのでしょうか?
端的にご説明すれば、AV/NGAVがウィルスの「侵入を発生させない」ためのいわゆる「点」に重きを置いた仕組みであることに対し、EDRはサイバー攻撃を侵入から暗号化まで時系列で追い続け、そのすべてを成立させないようにする「線」のソリューションと言えます。
ファイルの暗号化に普通のコマンドが使われた場合にも「ふるまい検知」でそれを止めることができるのもEDRの大きな特長です。これは日々進化するサイバー攻撃の脅威への対策として、今後主流になっていくと考えられます。
■アクトのEDR+SOC「セキュリモ」
アクトではEDR+SOCサービス「セキュリモ」をご提供しています。第三者検証テストで最も権威あるMITRE社の調査でトップクラスの検知率・防御率と評価されたEDR「SentinelOne」を、極めて専門性の高い当社SOCチームが運用いたします。サイバーセキュリティ対策にお悩みの方は、是非お問い合わせください。
Text/株式会社アクト サイバーセキュリティ事業部
アクトのサイバーセキュリティ対策支援
アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、企業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。
