FFRI BLOG

マルウェアに感染したらどうなるのか。【RAT編】

一言でマルウェア(悪意のあるソフトウェアやコード)といってもたくさんのパターンが存在します。

標的型攻撃等で用いられるRAT(Remote Administration Tool/ Remote Access Tool)というマルウェアがあります。RATに感染した端末の遠隔操作が可能になります。俗にいう「乗っ取り」という手法で、端末内の情報を盗む、もしくは端末に対して不正な操作を指示することにより、さらに攻撃の範囲を広げることなどが想定されます。

マルウェア被害にあった場合に、実際にはどのような状況に晒されるのか、なかなかイメージを持ちづらいものですが、FFRIでは、RATに感染した場合の被害イメージを示したデモ動画を公開しています。
以下の動画は、攻撃者側と被害端末側を画面の左右に分けて、それぞれの動作を見ることができます。RATに感染した端末が、サイバー攻撃者にどのような形で利用されるのか(画面左)、そして次世代エンドポイントセキュリティFFRI yaraiがどのように防御するのか(画面右)について御覧ください。

URL: https://www.youtube.com/watch?v=2ZNk6Z-qDDQ

RATは標的型攻撃で密かに仕込まれて、感染者は気づかずに攻撃が進行しているケースがあります。
昨今では、侵入・感染プロセスにおいてOS上の正規プロセスに紛れて活動を進めるような隠蔽テクニックがあり、セキュリティ対策製品での検出が難しく被害者は気づきにくい状況です。
ネットワークでの対策やパターンマッチング型のウイルス対策ソフト等で止められなかったマルウェアも、次世代エンドポイントセキュリティを採用することで効果的に被害を防ぐことができます。

また、サイバー攻撃者は、以前は大企業や官公庁を直接狙って標的型攻撃を仕掛けてきました。
昨今では、セキュリティ対策が進んでいない傾向にある中小規模組織や個人をまずは狙い、そこを足掛かりとして大企業を狙うサプライチェーン攻撃の脅威が顕在化してきています。

次世代エンドポイントセキュリティFFRI yaraiは、いわゆるNGEPP(Next Generation Endpoint Protection)としてカテゴライズされる製品です。従来のセキュリティ対策では検出できなかったマルウェアを、独自の先読み防御技術で検知・ブロックします。
FFRI yaraiは検出時にマルウェアのプロセスを停止させて、悪意ある動作をブロックすることが大きな特徴の一つです。つまり、EDR(Endpoint Detection and Response)製品等とは異なり、リアルタイムに脅威をブロックすることができるので、被害を極小化することができます。
一方、導入いただく環境によっては検出時にもプロセスを止めたくない、というご利用ケースもあります。その場合、検出のみでブロックしないモード(検出したログのみを出力)を設定することも可能です。 また、FFRI yaraiは標準機能としてEDR機能も搭載しており、健康診断のようなイメージで、組織内に潜む脅威の有無を可視化(レポート出力)します。実際に脅威が見つかった場合は、駆除や端末のネットワーク隔離が可能で、インシデントレスポンス対策を支援します。

2019-07-24

関連記事 Related Post

次世代エンドポイントセキュリティ Next-generation endpoint security

特集 Special Contents

お問い合わせ Contact Us

メールマガジン Mail Magazine

エンジニアブログ For Engineer

最近の記事 Recent Post

人気の記事 Popular Post

アーカイブ Achive

pagetop