HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2019年 ≫ 2019年7月 ≫ マルウェアに感染したらどうなるのか。【RAT編】

マルウェアに感染したらどうなるのか。【RAT編】

一言でマルウェア（悪意のあるソフトウェアやコード）といってもたくさんのパターンが存在します。

標的型攻撃等で用いられるRAT（Remote Administration Tool/ Remote Access Tool）というマルウェアがあります。RATに感染した端末の遠隔操作が可能になります。俗にいう「乗っ取り」という手法で、端末内の情報を盗む、もしくは端末に対して不正な操作を指示することにより、さらに攻撃の範囲を広げることなどが想定されます。

マルウェア被害にあった場合に、実際にはどのような状況に晒されるのか、なかなかイメージを持ちづらいものですが、ＦＦＲＩセキュリティでは、RATに感染した場合の被害イメージを示したデモ動画を公開しています。
以下の動画は、攻撃者側と被害端末側を画面の左右に分けて、それぞれの動作を見ることができます。RATに感染した端末が、サイバー攻撃者にどのような形で利用されるのか（画面左）、そして次世代エンドポイントセキュリティFFRI yaraiがどのように防御するのか（画面右）について御覧ください。

URL: https://www.youtube.com/watch?v=2ZNk6Z-qDDQ

RATは標的型攻撃で密かに仕込まれて、感染者は気づかずに攻撃が進行しているケースがあります。
昨今では、侵入・感染プロセスにおいてOS上の正規プロセスに紛れて活動を進めるような隠蔽テクニックがあり、一般的なセキュリティ対策製品での検出が難しく被害者は気づきにくい状況です。
また、サイバー攻撃者は、以前は大企業や官公庁を直接狙って標的型攻撃を仕掛けてきました。しかし昨今では、セキュリティ対策が進んでいない傾向にある中小規模組織や個人をまずは狙い、そこを足掛かりとして大企業を狙うサプライチェーン攻撃の脅威が顕在化してきています。
ネットワークでの対策やパターンマッチング型のウイルス対策ソフト等で止められなかったマルウェアも、次世代エンドポイントセキュリティを採用することで効果的に被害を防ぐことができます。

次世代エンドポイントセキュリティFFRI yaraiは、NGEPP（Next Generation Endpoint Protection）またはNGAV（Next Generation Antivirus）としてカテゴライズされる製品です。従来のセキュリティ対策では検出できなかったマルウェアを、独自の先読み防御技術で検知・ブロックします。
そして、FFRI yarai は2018年11月よりEDR機能を追加し、NGAV+EDRの製品となりました。これにより、FFRI yarai はマルウェア感染未然防止を前提に、EDR機能による脅威の検索・駆除、端末隔離などの対応を講じることができ、外部組織による監視などが必要ないため、運用負荷が少なく済みます。

FFRI yaraiのEDR機能と一般的なEDR製品の違いは以下のとおりです。

FFRI yaraiのEDR	一般的なEDR製品
検知＝防御 FFRI yaraiの検知は”マルウェアの活動成立前に防御したサイン” マルウェア活動前に防御できている為、感染の可能性は極めて少ないマルウェア活動前に防御できている為、リアルタイムでの早急な対応は必要としない	検知≠防御一般的なEDR製品の検知は”今まさにマルウェアが活動しているサイン”
常時監視は不要検知した検体の判断をするだけなので、専任技術者や常時監視体制が不要一般的な情報システム部門のスキルや人数で運用することが可能	常時監視が必要被害の拡大を食い止めるために迅速かつ的確な対応が必要アラートを常時ハンドリングする為の専任技術者や体制が必要運用を外部に委託すると運用コストが増大する
更にFFRI yaraiのEDR機能は、追加費用が掛かりません。	感染調査だけでなく、侵入経路や感染源の特定が必要攻撃がリアルタイムで進行している為、被害の全容特定に時間がかかる