Lockbit,EMOTETなどの世界感染者はなし。ファイルレスマルウェアも完全に防御でき感染ゼロの記録更新中
一般的なセキュリティソフトは、利用者の感染情報を元に対策を行い、その対策情報をシグネチャーで配信する方式であるため、対策までの間、感染者が発生してしまいます。毎日 百万個以上の新種である新種ウイルスが発見されており、それに感染するのが貴方ではないと断言できません。
昨今において標的型攻撃の多くは、犯罪組織・国家情報機関によって攻撃対象に向けて専用に作成されます。多くの場合、従来のセキュリティソフトでは検知されないよう高度に作られた新種です。組織は豊富な資金力と人手を持つため、市販のセキュリティソフト、電子メール用セキュリティソリューションを購入して出荷前検査を行っているためです。
このため、事後対処型と言えるブラックリスト方式やヒューリスティック分析(ふるまい検知)を用いた最新のセキュリティソリューションは役に立たたず感染を許してしまうことになります。
標的型攻撃では、Microsoft Officeスクリプト、Windows Script Hostを用いた添付ファイルを通じて感染します。ブラウザ経由では、PDFリーダ、FLASH、Javaなどのセキュリティ上の欠陥を用いて感染します。感染後、バックドアを仕掛けたり、遠隔操作をするためのアプリケーションにより通信を確立します。
次に、通信が確立した状態を把握し、ネットワーク内にあるパソコンやサーバを探索し、スキャナと呼ばれるソフトで存在を検知した機器(NAS等)のセキュリティ上の欠陥を調べ、バックドアを作り定期的に侵入可能なルートを確保します。端末名称などから顧客情報や先端技術の資料など価値のある情報が保管されている端末にあたりをつけます。
セキュリティ上の欠陥によってはそのまま様々な実行が可能ですが、場合によりブルートフォース攻撃や中間者攻撃(MITM)等によってパスワードを不正に取得します。こうして次々とターゲットのパソコンやサーバへ侵入します。
盗む情報を圧縮し、まずは過去乗っ取った外部のサーバへ転送し一時保管します。これにより実行者の特定を困難とさせます。転送後は、侵入した組織にある通信機器や侵入したサーバのログを削除し、侵入の痕跡をなくします。一時的に保管しているサーバへTOR等を利用し、身元の特定が困難になる状態で最終的に情報を取得します。一時保管サーバや、その所在国は、工作員の所属する国ごとに傾向がみられます。
マルウェアも所詮プログラムです。
実行権限を与えなければ動きません。
ランサムウェアは、主に東欧の犯罪組織がSaaS方式で提供しています。応用したものを国家情報機関が破壊工作を目的に利用している事もあります。
ランサムウェアは、身代金型ウイルスとも呼ばれ、パソコン内および常時接続しているファイルサーバ内の主要なファイルを暗号化し、ビットコインによる身代金支払いを要求する警告表示を画面上にポップアップ表示します。
侵入経路は、標的型攻撃と同じです。ランサムウェアは、「ランサムウェア ルートキット」と呼ばれる暗号化プログラムをビットコイン等で制作者から購入するか、SaaSで借りることに始まります。犯罪組織および悪意をもった一人の個人によってキーワード変更や亜種が生成され、メールや水飲み場攻撃によって不特定多数を標的に広く配布されるのが特徴です。
暗号化するだけでなく、文書やデータベースファイルを外部転送することが流行っており、盗み取った情報の一部をダークウェッブ上に公開し、「全ての機密情報を公開されたくなければお金を払え」と強要してきます。
ビットコインの誕生によって秘匿性をもって資金を得ることが可能となったため、現時点では世界で発見されている新種のウイルスとされているもののうち、このランサムウェアに分類されるものが、急増しています。ランサムウェアには、大別して2種類があります。
(1)難読化されたスクリプトが暗号化する悪質なアプリケーション(配信毎に異なるMD5)をダウンロードし、実行するタイプ (EMOTET等)
(2)難読化されたスクリプトがWindows標準搭載のアプリケーションを利用して暗号化するタイプ (WannaCry等)
PC Matic SuperShield は従来型や次世代型セキュリティソフトと設計思想が全く異なる新方式を米国政府が新たにゼロトラスト・セキュリティモデルとして定めました。この中核を担うエンドポイント保護方式である、アプリケーション・ホワイトリスティング方式を採用しています。パソコン内にある実行可能な未知のファイルは、実行が許可されずクラウドサーバに転送されます。転送されたファイルは、クラスター化されたコンピュータ上でAI技術を用いて多面的にビッグデータ分析にかけられます。監査された結果は、マルウェア分析官が利用するダッシュボード上に、多数のスコア、ソースコードなどと共に表示されます。善良な挙動をするアプリケーションと最終判断されたものみ起動を許可し、嫌疑やセキュリティホールがあるものは起動が保留されます。軍事基地に「正規の身分証明書」をもっている関係者のみが立ち入ることができる仕組みと似ています。
WANに直接接続され、アップデートなどを一切しないセキュリティ意識の低い利用者を標準的な利用者として想定し、多層保護することでパソコンに悪影響を与えない仕組みにしています。出張中でも安心してパソコンをインターネットに接続することができます。DMZセグメントにあるWindows Serverも強力に保護します。
AMSI(Windows Antimalware Scan Interface)を回避するマルウェアも見つかっており、従来のセキュリティソフトはOSのセキュリティ保護機能を回避されてしまうことがありますが、PC Maticは難読化やリフレクション、偽DLL、メモリの改変など、これらAMSI回避方法のすべてをデフォルト拒否で禁止しています。
PC Matic SuperShield を利用することで、電子メールがどこから送信されてきたか、偽装されていないを考えることなく、日常的なパソコン利用を行うことができます。これにより、業務効率を低下させることなく、パソコンをご利用頂けます。
情報流出が起きてしまえば、「取引先からの業務メールを装っていた」などと答弁しても言い訳に過ぎず、企業の信用は回復しません。経営陣から「なんでファイルを開いたんだ」と怒られる心配から開放されます。
2021年12月1日に独AV-TEST GmbHが消費者向けセキュリティソフトを対象に、10のランサムウェア攻撃シナリオで防御能力を測定し結果を発表しました。
試験に参加した9つのセキュリティソフトのうち、5つの製品が完全に防御しました。PC Maticは、そのうちの1つで、試験に用いられた異なる10の攻撃シナリオ全てを完全防御しました。
米パソコン雑誌 PC Magazineのリードセキュリティアナリスト、Neil Rubenking氏は、テスト期間内に送信されてくる電子メール内の不正なURLをクリックし、ウイルス感染するかの調査を長期間行っています。同氏による「セキュリティ製品による悪質URL防御力テスト」の結果が2017年9月に発表され、PC Matic SuperShieldがトップスコアを記録しました。同氏は、「PC Maticは100.0%のスコアで競合を引き離しました」 とコメントしています。
標的型攻撃やランサムウェア(暗号型ウイルス)の主要侵入方法であるドライブ・バイ・ダウンロード攻撃に対しても高い防御力と評価されました。
主要国首脳会議がG8からG7へといま参加国が減っています。減るきっかけとなったタイミングで「新たな冷戦時代が始まった」と言われています。戦車や戦闘機を用いた戦いは開始されていませんが、いま第四の戦場と呼ばれているサイバー空間では、世界戦争は開始されています。度々、各国首脳会談によりこのサイバー戦争について語られていますが、解決には至っていません。先進国では空軍、陸軍、海軍に加えてサイバー軍を数万人規模で編成しています。そして残念なことに既に開戦状態にあります。先進国だけでなく北朝鮮もサイバー軍を編成し、敵国混乱や外貨確保のために力を入れていることは国際的に広く知られています。そしてどの国も陣地に侵入することではないため宣戦布告は必要ないと考えているようです。
サイバー軍の攻撃目標は、
などです。サイバー犯罪の多くは市民生活に影響を及ぼすものです。
あなたが利用しているセキュリティソフトのエンジンは、どの国で開発されていますか?
開発国の国旗を注意深くみてみましょう。