“EDR回避”は2025年の最新トレンド？ 最新の攻撃手法を深堀しよう

ECサイトにおける情報漏えい事件は増え続けているが、その背後にある数値は重い（出典：トレンドマイクロ記者発表会資料）

　トレンドマイクロは2024年のサイバーリスク動向を総括するレポートを公開しました。これによると、日本の組織が抱えるサイバーリスクとして「脅威」「脆弱（ぜいじゃく）性」「資産」といった構成要素それぞれに課題があり、それらに自覚的ではない、もしくは放置していることが、組織のインシデントにつながるとのことです。

　このレポートを解説する記者発表の中では、「脆弱性」に対するリスクの例として、2019年ごろから現在まで続いているECサイトを標的にした攻撃キャンペーン「Water Pamola（ウォーターパモラ）」が取り上げられています。

　Water Pamolaは被害期間が非常に長く、被害に気が付かれにくいこともあり、なかなか根絶に至っていません。さらにこの攻撃で使われていた脆弱性についても、多くのセキュリティベンダーや機関によって積極的に注意喚起されていたにもかかわらず、企業の対応は進んでいないのが実態です。

　トレンドマイクロはこれらへの解決策として、アタックサーフェスマネジメント（ASM）の考え方を適用し、リスクを把握して対処することを推奨しています。ほんの少し前までは、解決策としてはEDR（Endpoint Detection and Response）がオススメされていた気がするので「ASMというバズワードを推したいのかな？」と邪推してしまいます。

　ただ、よくよく考えてみると、この流れはある意味「われわれの対策の方向性が間違っていなかった」ことを指しているとも考えられます。つまりEDR製品が企業に普及し、生半可の方法では攻撃が成立しなくなったと捉えた方が前向きかもしれません。サイバー攻撃者は手法を変えざるをえず、結果としてセキュリティベンダーに変化を与えた可能性がありますね。

　これは決して「EDR不要論」というわけではなく、アタックサーフェスマネジメントはEDRとは異なる次元のお話であり、両方とも必要なものだということです。

●攻撃者の最新トレンドは“EDR回避”　これを実現する技術的手法とは？

　個人的に気になっているのは、EDRの“現在地”です。トレンドマイクロは実際に脅威アクターの間で使われている「対EDR」に向けた攻撃手法をまとめています。これを読むと、何とも想像を超えたやり口であり、EDRを使っている組織は目を通しておいた方がよいと思いました。

　この記事は、攻撃者がどのようにして“天敵”となったEDRを回避するかを、技術的にブレークダウンする内容です。多少込み入っていますが、実際のランサムウェアによる攻撃は単に「迷惑メールに添付したファイルを実行させて、それがシステムを暗号化する」というものではなく、段階を踏んで実行されます。