ウィズセキュア、新機能「Activity Monitor」を開発–ランサムウェア感染後の復元を可能に

今回は「ウィズセキュア、新機能「Activity Monitor」を開発–ランサムウェア感染後の復元を可能に」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 サイバーセキュリティテクノロジーを提供するWithSecureの日本法人のウィズセキュアは2月22日、事業説明会を開催し、EPP/EDR向け新機能「Activity Monitor」を開発したことを発表した。

 Activity Monitorは、ランサムウェア感染に対抗するためのツール。ランサムウェアの多くは、被害者のデータを暗号化し、身代金と引き換えに復号化キーを提供する。Activity Monitorはこのような変化を検知し、暗号化プロセスを停止させ、データを暗号化されていない状態に復元する。

 WithSecureでリードリサーチャーを務めるBroderick Aquilino氏は、同社の既存技術である「DeepGuard」と「SandViper」のいいところを合わせたような製品と説明する。

 DeepGuardは、悪意があると判断された挙動を監視してブロックする。だが、挙動を個別に見ると悪意がないことが多く、一部の挙動は不可逆的でもあるという。また、ダメージを受ける前にブロックしなければならないと誤検知を招く可能性があるAquilino氏。さらに、全てのオペレーションを全てのプロセスに対して恒久的に監視しようとすると、システムの速度が低下するという課題もあるという。

 SandViperは、サンドボックスソリューションであり、疑わしいアプリケーションを安全な環境で実行して、解析する空間を提供する。通常、アプリケーションの実行には遅延が発生する。この遅延は、電子メールをスキャンするような場合には問題とならないが、エンドポイントサイドでの保護といった場合ではユーザー体験の低下といった問題につながる可能性がある。また、繰り返しの処理によりシステムの差分が発生するため、ノイズが多くなるという。

 Activity Monitorは、ユーザーエクスペリエンスを犠牲にせず、エンドポイントにサンドボックスのような環境を実現する技術とAquilino氏は説明する。

 アプリケーションの挙動を非同期で解析し、悪意があると考えられるアプリケーションの場合、ファイルやシステムの設定変更のバックアップを作成する。悪意があると判断をした場合、バックアップを使って変更をロールバックすることができる。サンドボックスのような環境で発生していたエンドポイントでの遅延も発生しないという。管理者用のアクティビティーレポートも作成される。今後の予定としては、送信ネットワーク接続の制御という機能なども考えられているという。

 Activity Monitorは、既存テクノロジーとの併用も可能であり、「WithSecure Elements EPP for Servers」向けの「Server Share Protection」はActivity Monitorを活用した最初の機能だとAquilino氏。Server Share Protectionは、Activity Monitorのバックアップ機能を使うことで、ネットワーク内の感染したコンピューターから共有フォルダーがランサムウェアによって暗号化されないように保護する。ファイルの暗号化が確認されるとバックアップを使ってロールバックする。

 また、エンドポイントプロテクション(EPP)ソリューションの振る舞い検知を向上させる。エンドポイント検知と検出(EDR)ソリューションは、Activity Monitorを使用して、変更をロールバックすることができる。バックエンドでSandViperのトレーサーとして使用でき、人間が読めるレポートも作成する。

 一方で、Activity MonitorはバックアップソリューションではないとAquilino氏は注意を促す。監視対象セッションでない場合や、悪意がないと判断されたセッションでは、暗号化されたファイルの復元はできないという。また、盗まれたデータの復元もできない。「まだまだ制約条件はある。そこをどうこれから取り組んでいくかということになる」(同氏)

 今後の予定としては、振る舞い検知エンジンとしての高精度化があるとAquilino氏。複数のプロセスをグループとして分析することや、プロセスの初期にブロックすると誤検出のリスクが高くなるため、後のプロセスでブロックして変更をロールバックすることが含まれるという。

元記事: https://japan.zdnet.com/article/35200440/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
CTCテクノロジー、AIを活用したマネージドサービスを提供
IT関連
2024-02-04 03:34
透明性を高めたサービスで安全なデジタル社会に貢献–カスペルスキー・藤岡社長
IT関連
2022-01-19 19:09
小規模企業のサイバーセキュリティ–不正アクセスを招く8つのミス
IT関連
2022-07-05 21:49
AIで古代の巻物を分析–2000年前の噴火で炭化した文書を解読する
IT関連
2024-03-09 02:56
国家公務員の採用試験に「デジタル」新設 2022年度から 平井大臣「行政のデジタル化に対応」
企業・業界動向
2021-04-29 14:48
第6回:「個を生かす時代」の鍵は“個別化された支援”–HRデータを活用
IT関連
2022-03-17 16:35
ピッツバーグのグーグル請負社員65名が労組結成で請負会社と合意
パブリック / ダイバーシティ
2021-08-03 06:41
フリーのITエンジニアやWebデザイナーも国の労災保険へ加入可能に 9月から
キャリア・しごと
2021-07-07 06:03
不正な株取引を巡ってテクノロジーがぶつかり合う中国
IT関連
2021-06-01 01:16
ブルーオリジンが4月14日の打ち上げで「宇宙飛行士リハーサル」を実施、有人宇宙飛行にまた一歩前進
宇宙
2021-04-14 21:29
日本IBM、大企業に最適化したメタバース基盤を発表
IT関連
2023-04-26 03:41
東工大と三菱電機が需要家の取引ニーズに応じP2P電力取引を最適化するブロックチェーン技術開発
ブロックチェーン
2021-01-28 06:02
Microsoft、在宅Web会議向けWebカメラ、スピーカー、ヘッドセットを発売へ
製品動向
2021-04-15 23:24
リコー、IBMおよびキンドリルとシステムアウトソーシング契約を更改
IT関連
2022-07-07 07:29