攻撃者が標的型攻撃対策を無効化するために使う技術
防御側がどれだけ対策ツールを導入しても、攻撃者はその仕組みを研究して回避策を開発します。製品を選ぶ前に、どのような技術的手法でツールの検知が無効化されるかを理解しておくことが、適切な製品と補完策を選ぶ出発点です。
環境検知による実行制御(サンドボックス回避の基本)
攻撃者が送り込むマルウェアは、自分が仮想環境(サンドボックス)内で実行されているかどうかを判定するコードを埋め込むことがあります。仮想環境に特有のハードウェア情報(仮想ディスクのシリアル番号・仮想化レイヤーのレジストリキー)やシステムの挙動(マウスカーソルの動き・クリップボードの内容・起動からの経過時間)を確認し、「解析環境だ」と判断した場合は無害な動作のみを行います。
この回避が成功すると、メールフィルタリングやゲートウェイのサンドボックスをくぐり抜けたファイルが端末上で悪意ある動作を開始します。製品によっては、サンドボックスの解析時間の延長や複数の解析エンジンによる分析に対応しています。加えて複数のサンドボックスエンジンを組み合わせること・端末上のEDR(エンドポイント検知・対応)で実行後の挙動を監視することが有効です。
時限型実行とスリープ挿入による解析回避
多くのサンドボックスは数分以内にファイルの危険性を判定します。攻撃者はこの制限を逆用し、感染後一定時間(数時間から数日)が経過してから悪意ある処理を開始する「時限型マルウェア」を作成します。Sleep関数を繰り返し呼び出して解析タイムアウトを待つ手法も広く使われています。
時限型実行への対応は、サンドボックス単体では困難です。実行可能ファイルをコード署名の有無・発行元の評判・ファイルエントロピー(ランダム性の高さ)で事前に評価し、疑わしいファイルをより長時間の解析キューに振り分ける仕組みが求められます。端末側のEDRが継続的にプロセスを監視し、後から発現した不審動作を捉える設計が補完的な役割を果たします。
この記事をご覧の方には、以下の記事もおすすめです。あわせて参考にしてください。
ファイルレス攻撃とメモリインジェクションの脅威
ファイルレス攻撃とは、マルウェアをディスクに書き込まず、メモリ上だけで動作させる手法です。PowerShellやWMIなどOS標準ツールを介して悪意あるコードをメモリにロードするため、ファイルを解析するNGAVやサンドボックスには「解析対象」が存在しません。プロセスインジェクションで正規プロセスのメモリ領域にコードを埋め込む手法も同様で、外部から見ると正規アプリケーションが動作しているように見えます。
ファイルレス攻撃への対応では、メモリ監視や振る舞い検知などを備えたEDRが重要です。コマンドラインログ・PowerShellのスクリプトブロックログ(Script Block Logging)を収集して異常なコマンドシーケンスを検出する設定を有効にすることで、検知精度が上がります。
ランサムウェアがバックアップを無効化する具体的な手口
「バックアップがあれば復旧できる」という前提は、現代のランサムウェアには通用しないケースがあります。攻撃者はバックアップを計画的に破壊・無効化してから身代金を要求します。バックアップ設計の見直しは、標的型攻撃対策の技術的な柱の一つです。
シャドウコピー・スナップショットの削除技術
Windowsの「シャドウコピー」はファイルの過去バージョンを自動保存する機能で、管理者権限があればコマンド一行で全件削除できます。ランサムウェアの多くはファイルを暗号化する前にシャドウコピーとVSSスナップショットを削除するシーケンスを実行するよう設計されており、この処理は数十秒で完了します。仮想基盤のスナップショットも、管理APIに不正アクセスできれば同様に削除されます。
対策はイミュータブル(書き換え不可)なバックアップの導入です。クラウドオブジェクトストレージのObject Lock機能や、テープメディアによるオフラインバックアップは、ランサムウェアがネットワーク経由で削除・上書きできない構造を持ちます。「攻撃者がネットワーク上から到達できない場所にコピーが存在するか」を設計の確認軸にしてください。
この記事をご覧の方には、以下の記事もおすすめです。あわせて参考にしてください。
バックアップサーバーへの横展開と認証情報の悪用
本番環境に侵入した攻撃者は、そのまま横展開してバックアップサーバーを暗号化するケースが増えています。本番と同じ管理者アカウントでバックアップサーバーを運用している場合、認証情報が盗まれると同時にバックアップも失われます。ドメイン管理者権限を持つアカウントが一つ侵害されただけで、バックアップを含む全サーバーに影響が及ぶ構成は高リスクです。
3-2-1ルール(データを3つ保持し、2種類の媒体に保存し、そのうち1つをオフサイトで保管)に加えて、バックアップへのアクセス認証を本番環境と完全に分離することが重要です。特権アカウントの分離・バックアップ管理専用の資格情報設定・多要素認証の適用が、横展開によるバックアップ無効化を防ぐ技術的な要件です。
サプライチェーン攻撃とソフトウェア改ざんのリスク
信頼できるベンダーやソフトウェアを経由して侵入するサプライチェーン攻撃は、対策ツールが「正規の署名付きソフトウェア」として信頼するため、検知が構造的に困難です。
署名済み更新パッケージを悪用した侵入経路
正規のソフトウェア更新パッケージにマルウェアを埋め込む手法では、攻撃者はまずソフトウェアベンダーのビルド環境またはアップデート配信サーバーに侵入します。正規のコード署名証明書が付与されたまま悪意あるコードが配布されるため、エンドポイントのNGAVは署名を「信頼済み」として扱い、実行を許可します。SolarWinds社のSunburstマルウェアはこの手法の代表例です。
この攻撃を完全に防ぐことはツール単体では困難ですが、影響を局所化する対策は取れます。ネットワークセグメンテーションで更新配信サーバーへのアクセスを必要最小限に絞ること・重要システムには更新の適用前にステージング環境でのテストを挟むこと・ゼロトラストアーキテクチャで「署名が正規でも過剰なアクセス権を与えない」設計を採用することが、被害範囲を限定する手法です。
委託先・外部ベンダー経由の侵入リスク
システム保守や開発委託先がリモートアクセス権限を持つ場合、委託先のエンドポイントが侵害されると自社への侵入経路が生まれます。委託先へのアクセスは最小権限に絞り、作業時間帯・接続元IPのホワイトリスト登録・多要素認証を必須とする設計が基本です。セッション録画とアクティビティログの保管を要件に含めることで、不審な操作の事後追跡も可能です。
この記事をご覧の方には、以下の記事もおすすめです。あわせて参考にしてください。
ITトレンドでは、最新の製品・サービスを多数比較・掲載しています。まず資料を取り寄せて機能や特徴をさまざまな製品で比較してみてください。忙しい業務時間内でも、各社に問い合わせる手間なく、たった1回の入力(約60秒)で標的型攻撃対策の一括資料請求が可能です。浮いた時間で、じっくりと製品を比較検討し進めましょう。
脆弱性の技術的特性から考える多層防御の設計原則
これまで整理してきた技術的回避リスクは、単一の対策ツールで封じることができません。攻撃者が「どの技術でどの対策を迂回するか」を理解した上で、複数のレイヤーを組み合わせる多層防御の設計が現実的な防御戦略です。
入口・端末・ネットワーク・データの各層における防御の役割分担
入口での対策(メールフィルタリング・URLフィルタリング・サンドボックス)が回避されることを前提に、端末層のEDRが実行後の挙動を監視し、ネットワーク層のIDS/IPSが横展開を検出し、データ層のイミュータブルバックアップが最終的な復旧手段を担う多層構成が基本です。各層の認証情報と管理権限を分離しておくことで、一層が突破されても他の層が機能します。ゼロトラストアーキテクチャの「信頼されたネットワーク内でも検証を省略しない」原則は、この独立性を技術的に担保する設計思想です。
脅威インテリジェンスを活用した検知精度の向上
攻撃者のIPアドレス・ドメイン・マルウェアのハッシュ値・戦術パターン(TTPs)をまとめた脅威インテリジェンスをツールに取り込むことで、製品固有の学習データの偏りを補い最新の攻撃手法への対応精度を高められます。MITRE ATT&CKフレームワークを使って自社の対策がどの攻撃技術をカバーしているかをマッピングすると、対策の空白地帯が可視化されます。製品選定時には、インテリジェンスフィードの更新頻度とATT&CKへの対応範囲を確認してください。
この記事をご覧の方には、以下の記事もおすすめです。あわせて参考にしてください。
製品選定チェックリストとPoCの進め方
標的型攻撃対策製品を選ぶ際に、カタログスペックだけで判断すると「技術的回避リスク」への対応が不十分な製品を選んでしまうことがあります。以下のチェックリストとPoC(概念実証)の進め方を参考に、自組織の環境に合った製品を見極めてください。
製品評価で確認すべき技術項目
製品選定時に確認すべき技術的な観点を整理しました。カタログ上の機能名だけでなく、実装の深さを問う質問をベンダーに投げかけることが重要です。
サンドボックス回避への対応として、解析時間の延長設定・複数エンジンの組み合わせ・マウス動作シミュレーションが実装されているか確認してください。ファイルレス攻撃の検知については、メモリスキャン機能・PowerShellスクリプトブロックログの収集・プロセスインジェクションの検出が可能かを問います。バックアップ保護との連携では、シャドウコピー削除の試みをアラートとして検知できるかが選定基準の一つです。
加えて、脅威インテリジェンスフィードの更新頻度とMITRE ATT&CKへの対応範囲・署名付きファイルであっても挙動ベースで評価するサプライチェーン対策・ラテラルムーブメントの検出機能・SSL/TLS復号に対応した環境でのC2通信の検出能力も確認項目として加えてください。
PoCを効果的に進めるための手順と評価観点
PoC(Proof of Concept:概念実証)では、自社の業務環境を再現したテスト環境でMITRE ATT&CKのTTPsをベースにした攻撃シナリオ(サンドボックス回避ファイルの実行・ファイルレス攻撃の模擬・シャドウコピー削除コマンドの発行)を使って検知精度を測定します。評価観点は検知率だけでなく、誤検知が業務に与える影響・検知から対応完了までの所要時間・管理コンソールの操作性も含めて数値で記録してください。最低でも2~4週間の評価期間を確保し、複数担当者による多角的な評価を行うことで、実際の運用における製品の適合性を正確に把握できます。
標的型攻撃の技術的リスクに関するよくある疑問
技術的回避リスクと製品選定について、実際に多く寄せられる疑問をまとめました。
- ■Q1:サンドボックスを回避するマルウェアが増えているなら、サンドボックス製品は不要ですか?
- 不要ではありません。回避技術を持たない多くのマルウェアはサンドボックスで有効に検知されます。ただし、サンドボックス単体への過信は禁物です。入口での検知が突破されることを前提に、端末上のEDRや継続的な挙動監視と組み合わせた多層防御の一部として位置づけるのが正しい使い方です。
- ■Q2:イミュータブルバックアップはどのくらいの頻度で取るべきですか?
- 業務データの更新頻度と目標復旧地点(RPO)によって異なりますが、重要データは1日1回以上、差分バックアップは数時間おきが目安です。最低でも週次でリストアテストを実施して「実際に復元できるか」を確認することが重要です。バックアップの存在そのものより、復元できる状態を維持することに注力してください。
- ■Q3:PoCにかける期間はどのくらいが適切ですか?
- 最低でも2~4週間の評価期間を確保することを推奨します。1週間程度では業務の繁閑や特定イベントに偏った結果が出やすく、製品の実力を正確に評価できません。評価期間中は通常業務を継続しながら誤検知の発生数・管理負荷・応答速度を記録し、複数担当者による多角的な評価を行ってください。
まとめ
サンドボックス回避・ファイルレス攻撃・バックアップ無効化・サプライチェーン経由の侵入は、いずれも対策ツールの検知ロジックを前提とした攻撃手法であり、技術的に突破されるリスクをゼロにはできません。入口・端末・ネットワーク・データの各層に独立した防御を配置する多層防御の設計と、実環境でのPoCによる製品評価が対応の軸です。製品選定はカタログスペックではなく、本記事の技術項目チェックリストとPoC結果をもとに判断してください。
