Sophos Endpoint: リモートランサムウェア攻撃を阻止する業界屈指の保護機能

製品RansomwareSophos EndpointSophos NDR

主要なエンドポイントソリューションが悪質なリモート暗号化に苦戦していますが、ソフォスは違います。

人手で操作されるランサムウェア攻撃の約 60% には、悪質なリモート暗号化が含まれています。この記事では、現在勢いを増しているこのランサムウェア攻撃と、ソフォスの業界最先端の保護機能について紹介します。

リモートランサムウェアとは?

リモートランサムウェアとは、「悪質なリモート暗号化」とも呼ばれ、感染エンドポイントを利用して、同じネットワーク上にある他のデバイスのデータを暗号化するものを指します。

人手によるランサムウェア攻撃は、通常、ターゲットとして狙いを定めたマシンに直接、侵入を試みます。ターゲットマシン上のセキュリティ技術などによって、この試みがブロックされた場合、ランサムウェアがそのまま諦めることは滅多にありません。ターゲットを別のデバイスに変えて、試行を繰り返します。

別のマシンへの侵入に成功すると、組織のドメインアーキテクチャを利用し、ドメインで結合された管理対象マシン上のデータを暗号化します。悪質な操作 (侵入、ペイロードの実行、暗号化) はすべて感染マシン上で行われるため、最新のセキュリティ対策をくぐりぬけます。不正の唯一の兆候は、他のマシンへのドキュメントの転送です。

リモート暗号化のうち 80% は、ネットワーク上の管理対象外デバイスを発端としていますが、保護対象のデバイスでも、防御機能が不十分で侵入を防げなかったケースもあります。

リモートランサムウェアが勢いを増している理由

この手口が増えている主な理由は、広範囲に影響を及ぼしやすい点にあります。組織ネットワーク上の主なデバイスがすべて次世代型のエンドポイントセキュリティソリューションで保護されていても、管理対象外のデバイスや、保護が不十分なエンドポイントがたった 1台あるだけで、組織全体に悪質なリモート暗号化の影響が及ぶ可能性があります。

さらに厄介なことに、このようなランサムウェアは種類が豊富です。有名なランサムウェアファミリーの多くが、悪質なリモート暗号化をサポートしています。たとえば、Akira、BitPaymer、BlackCat、BlackMatter、Conti、Crytox、DarkSide、Dharma、LockBit、MedusaLocker、Phobos、Royal、Ryuk、WannaCry などがその例です。

また、多くのエンドポイントセキュリティ製品は、保護対象エンドポイント上で悪質なランサムウェアファイルやプロセスを検出することに注力しているため、リモート暗号化に対して往々にして無力です。リモート暗号化攻撃は、感染マシン上でプロセスを実行するため、リモートのエンドポイントの保護機能からはその悪質なアクティビティが見えない状態になります。

その点、Sophos Endpoint の強力な保護機能は、業界最先端の CryptoGuard を使って、悪質なリモート暗号化をも阻止します。

Sophos CryptoGuard: 業界屈指の万能なランサムウェア対策

Sophos Endpoint は、複数の保護レイヤーによって組織をランサムウェアから守ります。ソフォス独自のランサムウェア対策技術である CryptoGuard は、すべての Sophos Endpoint サブスクリプションに含まれています。

単に悪質なファイルやプロセスを探すだけのエンドポイントセキュリティソリューションとは異なり、CryptoGuard はプロセスの実行場所とは関係なく、データファイルに悪質な暗号化の兆候があるかどうかを分析します。この方法は、悪質なリモート暗号化を含め、あらゆるタイプのランサムウェアを阻止するのに非常に効果的です。悪質な暗号化を検出した場合、自動的にブロックし、ファイルを暗号化前の状態に戻します。

CryptoGuard では、数学的な分析手法を使ってあらゆるドキュメントファイルの中身を読み取り / 書き込み時に常にチェックし、暗号化された可能性を調べています。この独自の万能なアプローチによって、Sophos Endpoint ではリモート攻撃や新種のランサムウェアなど、他のソリューションでは捉えられないようなランサムウェア攻撃も阻止することが可能です。

ファイルの中身を解析し、悪質な暗号化を検出
他社のソリューションは、ランサムウェアを他のマルウェアと同じようにみなして悪質コードの検出に注力しますが、CryptoGuard は数学的アルゴリズムを使ってファイルの中身を分析し、高速に進行する大量の暗号化を見つけます。

ローカルとリモートの両方のランサムウェア攻撃をブロック
CryptoGuard はファイルの中身に着目することによって、悪質プロセスが直接実行されていないデバイス上でもランサムウェアによる暗号化を検出します。

悪質な暗号化を自動的に復元
編集されたファイルのバックアップを一時的に作成し、大量の暗号化が検出された場合は、変更点を自動的に元に戻します。他のソリューションでよく使用される Windows のボリューム シャドウ コピーは、敵に回避されることで知られていますが、ソフォスは独自の方法を採用しているのに加えて、復元できるファイルのサイズやタイプに制約がないため、業務の中断を最小限に抑えることができます。

リモートデバイスを自動的にブロック
リモートランサムウェア攻撃によってファイルがリモートから暗号化された場合、そのリモートデバイスの IP アドレスを自動的にブロックします。

マスターブートレコード (MBR) を保護
CryptoGuard は、マスターブートレコードを暗号化してデバイスの起動を妨げようとするランサムウェアや、ハードディスクのデータを消去する攻撃からコンピュータを保護します。

CryptoGuard は Sophos Endpoint に搭載されている特別機能で、Sophos Intercept X Advanced、Sophos XDR、Sophos MDR のサブスクリプションに含まれています。さらに、この機能はデフォルトで有効化されているため、ローカルとリモートの両方のランサムウェア攻撃からただちに完全に保護されます。特別な設定や微調整は不要です。

保護されていないデバイスの検出

保護されていないエンドポイントが 1台あるだけで、組織全体がリモート暗号化攻撃の被害にさらされる恐れがあります。Sophos Endpoint を導入すれば、堅牢で普遍的なランサムウェア対策によって、悪質な暗号化を阻止することができます。では、それ以前の段階として、ネットワーク上に保護されていないデバイスがあるかどうかを調べるにはどうすればいいのでしょうか。

そのために役立つのが、Sophos Network Detection and Response (NDR) です。Sophos NDR は、ネットワークトラフィックに不審なフローがないかどうかを監視し、環境内にある保護されていないデバイスや不正なアセットを特定します。

保護対策を徹底してランサムウェア攻撃を防ぐために、お客様の環境内の全マシンに Sophos Endpoint をインストールするとともに、Sophos NDR を導入してネットワーク上の保護されていないデバイスを特定しましょう。

絶好のチャンス

Sophos Endpoint の独自のランサムウェア対策機能をアピールして、新たなセールスや更新の獲得につなげましょう。特に、ソフォス製品から Microsoft Defender への移行を検討しているお客様をつなぎとめるのに効果的です。ランサムウェア攻撃にあった場合、修復にかかる平均費用は 182万ドルにのぼります。それでも、リスクをおかして移行しますか?とお客様に問いかけてみてください。

このまたとないチャンスを活かしていただくために、新しい販促資料をご用意しましたので、ぜひお客様にご紹介ください。

  • ソフォスニュースの記事 – リモートランサムウェアとは何か、また、多くの組織がその危険にさらされている理由を説明し、Sophos Endpoint がそれを阻止する仕組みを解説します。
  • プロモーションビデオ (2分) – ソーシャルメディアでの前振りに最適です。
  • 専門的な解説ビデオ – Peter Mackenzie (インシデント対応ディレクター) が、リモートランサムウェアについて解説します。

また、パートナーポータルで以下の資料を公開していますので、ダウンロードしてご利用ください。

  • ソフォスのリモートランサムウェアガイド – リモートランサムウェアとは何か、また、多くの組織がその危険にさらされている理由を説明し、Sophos Endpoint がそれを阻止する仕組みを解説します。
  • イネーブルメントビデオ – 販売の機会について説明します。
  • PowerPoint スライド – 最新版のスライドを、ご自身のプレゼンテーションに組み込んでご利用ください。
  • マーケティングメール – ホワイトペーパーとウェビナーの紹介を目的としています。

アセットライブラリへアクセス

NDR も併せてご紹介ください

リモートランサムウェア攻撃の 80% は、管理対象外のデバイスの感染が発端となっています。この記事で説明したとおり、お客様のネットワーク上にあるものを可視化する重要性を訴えて、Sophos NDR をご紹介ください。Sophos NDR は現在、Sophos MDR と Sophos XDR の両方から提供されています。