“EDR回避”は2025年の最新トレンド？ 最新の攻撃手法を深堀しよう

　攻撃者はバッチファイルを段階を踏んで実行し、内部コマンドを悪用しながら、痕跡を残さないように一つ一つのセキュリティ機構をオフにしていきます。

　問題なのは、私たちが頼りにしているEDRを停止させる方法です。これにはEDRKillShifterというツールが使われています。これは脆弱性のある正規ドライバを導入し、それを経由してEDRをはじめとするアンチウイルス関連のアプリケーションを停止させます。

　この記事では、EDRKillShifterが停止させるアプリケーション名の一覧も付記されています。そこにはトレンドマイクロ以外にも多くのベンダーが関連していそうなファイル名が対象になっています。

　EDRはここまで、攻撃者に忌み嫌われる存在になったのかと興味深く読みました。もちろん、攻撃時にここまで派手に動かざるを得ないわけですので、どこかに痕跡は残るはずです。それを、しっかりと予兆として把握し、情報窃取／暗号化といった最終ゴールの前までに止めることができればわれわれの勝利です。その意味では、EDRを活用しつつ、さらなる対策がもう一つ上の次元で実行されている必要があるというのは納得できるのではないでしょうか。そして、EDRが万能ではないことも、理解ができると思います。

　恐らくですが、その一つ上の次元でやるべき対策は、購入できるものではないようにも感じます。そこで必要なのはやはり「組織力」だったり「ガバナンス」であり、「人」ではないでしょうか。脆弱性はパッチ適用が必要ですが、パッチ適用に至るまでのプロセスこそが難しいものです。重要な操作には認証が必要となっているはずですが、そもそもの特権管理がなされていなければ効果はありません。2025年は、ソリューションの強化ととともに「人」の強化をし、組織そのものが攻撃者の“天敵”になれることを願っています。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。