進化するランサムウェア--暗号化に気づかせない新たな手口
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威2025」によれば、組織向け脅威の第1位は10年連続でランサムウェア攻撃となった。例えばKADOKAWAは直接的な被害だけで23億円、営業利益では49億円のマイナス影響を受けた。関通はメール経由で感染し、50日間の業務停止に追い込まれた。教育機関も標的になりやすく、宮城学院女子大学や東海大学などで被害が報告されている。
ここで注目したいのは、この10年でランサムウェアの手法が大きく変化していることである。
2005年のGPCoderに代表される初期のランサムウェアは、無差別に大量に攻撃し、感染台数を増やすことが重視されていた。感染すると画面に警告が表示され、ディスクI/OやCPU使用率が顕著に高くなるため、管理者が容易に気づくことができた。
ところが現在のランサムウェアは様相が異なる。まず犯罪者は誰ならお金を払えるか、どの情報を盗めばよいかを調査して、事前に攻撃対象を絞り込む。そしてランサムウェア自体、感染前後の画面表示が通常と変わらないという点が大きく異なる。
TD SYNNEX株式会社
ブロードコムビジネス部門プロダクトマネジメント部
シニアビジネスデベロップメントマネジャー
萱野 大輔 氏
実際の侵害の際は、最初に感染した端末を足がかりに社内ネットワークへ水平展開し、価値のあるデータを探して暗号化する。これらの動作はPCの通常のリソース消費の範囲内で行われるため、発見は非常に困難だ。さらにPowerShellのような管理者用プログラム上で動くため、通常の動作と区別がつかない。
「最新のランサムウェア攻撃は、事前に企業の状況をしっかりと偵察し、重要な情報がどこにあるのかを分析してから狙うようになっています。そして、ランサムウェアの感染に気づかないケースが多くなっているのです」と、TD SYNNEX ブロードコムビジネス部門プロダクトマネジメント部 シニアビジネスデベロップメントマネジャーの萱野大輔氏は指摘する。
オンプレミスからクラウドまで包括的・多層的な保護が必要
企業のIT環境は、社内のLAN環境だけでなく、クラウド環境やリモートワーク環境にまで広がっている。そのため、入口・内部・出口それぞれの層でセキュリティ対策を講じる包括的な多層防御が不可欠となっている。
入口対策としては、やはりメールセキュリティが重要だ。多くのランサムウェアがメール経由で侵入するため、この段階で脅威をブロックできると効果的である。
内部対策では、エンドポイントセキュリティが基本となる。どこに感染して、どのような挙動をし、どのように広がっているかといった脅威の活動を可視化するEDRソリューションが必要だ。
働き方が多様化し、社外やリモートで仕事をする機会が増えている現在では、クラウドサービスも積極的に活用されている。そこで、それらへのアクセスを保護する、クラウドセキュリティやネットワークセキュリティといった出口対策が欠かせない。
「セキュリティ対策は、部分的にここだけ守れば良いというものではありません。部分最適ではなく、多層防御による全体最適を目指す必要があります」(萱野氏)
幅広いラインアップと豊富なナレッジで新たな脅威にも対抗
TD SYNNEXが提供するBroadcomのセキュリティソフトウェアは、多層防御を実現する包括的な製品ラインナップを持つ。エンドポイントセキュリティをはじめ、メールセキュリティ、重要データを保護するDLPソリューション、Webプロキシやゼロトラスト、シャドウIT対策のCASBなど、全体を包括的にカバーできる体制を整えている。これらすべての製品がクラウドとオンプレミスの両方に対応しており、ハイブリッド環境でも利用可能だ。
こうした製品群の土台となるのが、SymantecとCarbon Blackによる「グローバル脅威インテリジェンスネットワーク(GIN)」である。いずれもセキュリティ業界で非常に長い歴史を持ち、どのようなサイバー攻撃があり、どのような振る舞いをするのか、それに対してどのような対策フレームワークがベストなのかというナレッジを、どこよりも豊富に蓄積している。このGINをベースとして製品開発を行っているため、新たな脅威に対しても強力な対策を講じることができるのだ。
広範なポートフォリオの中でも、エンドポイントセキュリティの中核となっているのは「Symantec Endpoint Protection(SEP)」である。SEPは入門的な位置づけのセキュリティソリューションで、PCやサーバーにインストールして使用する。GINをベースとした次世代アンチウイルス対策により、新種のウイルスにも気づきやすい仕組みを実現している。IPS/IDS機能やUSBデバイス管理機能などを備えており、単一のエージェントとコンソールで統合管理できる点も特長だ。上位モデルの「Symantec Endpoint Security(SES)エンタープライズ」および「SESコンプリート」では、モバイル対応やActive Directoryの保護、EDRも追加できる。
もう一つの主要製品がCarbon Blackである。こちらは感染したあとの事後対策に大きな強みを持ったソリューションだ。Carbon BlackはEDRという概念を世界にいち早く伝えた製品としても知られており、「非常に尖ったサービス」と萱野氏は表現する。次世代アンチウイルス対策に加えて、振る舞い検知型のEDRを搭載している。どのような行動が危険であるかを理解しているため、未知の脅威も的確に捉えることが可能である。上位モデルでは脆弱性チェック機能を備え、また最上位モデルのエンタープライズEDRでは、すべてのテレメトリ/ログ情報を一元管理するため、いち早く対策を講じることが可能となる。
充実した日本語のサポート体制で安心して利用可能
TD SYNNEXは2025年2月、Broadcomのセキュリティソフトウェアのカタリストパートナーとなった。カタリストパートナーとは、各地域におけるマーケティングから販売、アフターサポートまでの一連をBroadcomに代わって担当することを意味する。
特にユーザーにとって重要な点は、TD SYNNEXが提供する充実したサポート体制である。同社のサポートチームにはSymantecやCarbon Blackで活躍していた日本の技術者がジョインしており、日本語で支援する体制を整えている。
「通常のビジネスタイムには、日本語で気軽にご相談いただける窓口を用意しております。また特に重篤なトラブルには、24時間365日、電話とメールでの日本語対応を提供しています。非常に高い評価を得ており、安心してご利用いただけます」と萱野氏は強調する。
Broadcomは、非常に幅広いラインアップでオンプレミスからクラウドまで包括的な保護を提供し、長い歴史を基にしたナレッジで未知の脅威にも有効な対策を実現している。これにTD SYNNEXの親身なサポートを組み合わせることで、ほかにはない強力なセキュリティソリューションとなっている。進化し続ける脅威への対応策として、ぜひ積極的に検討していただきたい。
関連記事:【特別連載】TD SYNNEX × Broadcom
Symantec Endpoint Securityの詳細はこちら
