ランサムウェア対策の新潮流
「RDR(Ransomware Detection and Recovery)」とは

サイバー攻撃の中でも、ランサムウェアは特に深刻な脅威として世界中の企業や団体に被害をもたらしている。従来のセキュリティ対策では十分に防ぎきれないほど、攻撃者の手口は巧妙になってきている。こうした状況を背景に、セキュリティ業界で新たに誕生したのが、「Ransomware Detection and Recovery」(以下、RDR)というセキュリティコンセプトだ。

なぜRDRが必要なのか?

 RDRとは、文字通り「ランサムウェアの検知と復旧」に特化した防御アーキテクチャである。EDR※1やXDR※2とは異なり、ランサムウェアという特定の脅威に焦点を当て、専門的かつ即時的な対応を可能にするのが特長だ。

 ランサムウェア攻撃は、その性質上、感染から被害までのスピードが極めて早い。攻撃は自動化されており、侵入後わずか数分でファイルの暗号化が進行するケースも少なくない。また、近年では二重脅迫と呼ばれる、暗号化に加えて情報の窃取と公開を脅迫材料にする手法が主流となってきている。このような攻撃に対して、汎用的なEDRやXDRでは、以下のような課題がある。

【EDRやXDRの課題】
・ランサムウェアに特化した挙動分析を行っているわけではなく、攻撃の検知やブロックが難しい場合がある。
・ランサムウェアに感染した際に、即時の封じ込めやファイル復元が難しい。
・バックアップもランサムウェアの攻撃対象になり、復旧不能に陥ってしまうケースがある。

 こうした状況を打破するために登場したのがRDRだ。

RDRの基本概念と構成

 RDRは「検知」「対応」「復旧」という三つの要素を、全てランサムウェアに特化して再構築したアーキテクチャだ。主な構成要素は以下の通りとなる。

【RDRの構成要素】

1.ランサムウェア特有の動作を事前に検知:RDRでは、ランサムウェアの典型的な挙動、例えば短時間で多数のファイルを変更、特定の暗号化関数(API※3)の使用、不審な拡張子の連続生成などを高度なAIやルールベースといった複数の手法で即時に検出する。

2.感染の封じ込めとシステム保護:ランサムウェアの感染が疑われる端末上のプロセスやファイルに対しては、リアルタイムでブロックする。さらに、ランサムウェアによるEDR製品のプロセス停止を阻止したり、バックアップデータの削除処理をブロックしたりするなど、被害の広がりを最小限に抑える。

3.復旧支援:暗号化されたデータを復元するには、バックアップデータからのリストアが一般的だ。その場合、ランサムウェアからも書き換え不可能なイミュータブルバックアップを利用する。しかしRDRでは少し違ったアプローチを行う。暗号鍵そのものや、暗号鍵のシード、アルゴリズム、そのほか暗号化に関わる情報を捕捉し、復号ツールを作成して、暗号化されるや否や迅速に復号するのだ。復号支援は、機能として自動実行される場合もあれば、セキュリティ専門企業のMSS※4と連携して手動で行われる場合もある。

4.情報漏えいへの対応:データの暗号化だけでなく、外部への情報漏えいにも対応する必要がある。RDRでは異常な通信やデータ窃取の動きを検知し、それを阻止することも考えられている。

EDR・XDRとRDRの違い

EDRやXDRとの違い

 RDRはEDRやXDRの代替ではなく、補完的なセキュリティ層と位置付けるのが適切である。EDRは不審な挙動全般を監視し、XDRはネットワークやクラウドなどの複数の層を横断的に可視化・防御する。一方、RDRは「ランサムウェア」という特定のセキュリティリスクに対してより深く、より迅速に対応するための専門レイヤーである(上図参照)。

 つまり「広く浅く」検知するEDR・XDRに対し、RDRは「狭く深く」ランサムウェアに対処する。これにより、攻撃の初動段階での即時対応と、業務継続性の確保が可能になるのだ。

特定リスクへの対策と展望

 RDRという用語は米Halcyonが利用している用語であり、まだ業界全体で標準化されたわけではない。ただ実際、ランサムウェア対策に特化した機能を備えた製品やサービスは増えている。現時点では、特定のセキュリティリスクに対して専用対策を持つといった考え方として注目されつつあるが、今後は、次のような展開が期待されている。

【今後期待される展開】
・RDRとEDR・XDRとの統合的運用(APIやSIEM連携など)
・RDRの復旧支援力を考慮したサイバー保険との連携によるインシデント対応体制の高度化

サイバーレジリエンスに必要なRDR

 ランサムウェアの脅威が増す中、単に「検知する」だけでなく、「被害を出さない」「即時に復旧する」能力が求められている。RDRはこうした新たな要件に対応する次世代の防御モデルだ。「想定外の事態を想定して備える」「被害にあったとしても迅速に復旧し事業継続性を高める」という、現代セキュリティのあるべき姿であるサイバーレジリエンスを体現した考え方といえる。

※1 Endpoint Detection and Response:エンドポイントのセキュリティ脅威を検知し、対応を支援。
※2 Extended Detection and Response:エンドポイント、ネットワーク、クラウドなどを監視し、脅威の防御、検出、調査、対応を統合的に行う。
※3 Application Programming Interface:あるソフトウェアやサービスの機能を呼び出して利用したり、情報をやりとりしたりする仕組み。
※4 Managed Security Service:導入ソリューションの監視、運用を支援するサービス。
※5 Endpoint Protection Platform:マルウェアの検知および感染防止を支援。