博士

ロボ子、大変なのじゃ！ランサムウェア攻撃が進化して、カーネルレベルでEDR（Endpoint Detection and Response）を無効化するマルウェアが使われているらしいぞ！

ロボ子

それは深刻ですね、博士。カーネルレベルとなると、セキュリティ対策の根幹を揺るがす事態です。

博士

そうなんじゃ！少なくとも12のランサムウェアグループが、EDRキラーをマルウェアに組み込んでいるらしい。

ロボ子

12グループもですか！具体的にはどのようなグループが確認されているんですか？

博士

Blacksuit、RansomHub、Medusa、Qilin、Dragonforce、Crytox、Lynx、INCなどが確認されているみたいじゃな。特にCrypto24っていうグループは、RealBlindingEDRっていうオープンソースツールをカスタマイズして使っているらしいぞ。

ロボ子

RealBlindingEDRですか。エンドポイントの検出と対応製品を無効にするツールですね。それをカスタマイズするとは、巧妙です。

博士

そうなんじゃ！しかも、Sophos、Trend Micro、Kaspersky、Malwarebytes、Bitdefenderなど、28社ものセキュリティベンダーのカーネルレベルのフックを無効にするようにプログラムされているらしい。

ロボ子

そんなに多くのベンダーの対策を無効化できるとは…。攻撃者は相当な技術力を持っているようですね。

博士

Trend Microの研究者によると、攻撃者は正規のグループポリシーユーティリティであるgpscript.exeを悪用して、Trend Vision Oneアンインストーラーをリモートで実行するケースも確認されているらしいぞ。

ロボ子

正規のツールを悪用するとは、ますます巧妙化していますね。検知が難しくなりそうです。

博士

Sophosによると、少なくとも8つのグループがランサムウェアを展開する前にエンドポイントセキュリティ防御を無効にしているらしい。RansomHubは、侵害された証明書で署名されたEDRキラーを使用しているみたいじゃ。

ロボ子

証明書を侵害する手口まで…。セキュリティ対策は後手になりがちですが、これだけ巧妙だと、より一層警戒が必要ですね。

博士

Cisco Talosは、HRSwordという商用ソフトウェアツールがランサムウェア感染で使用されていることを確認したらしいぞ。攻撃手法も多様化しているのじゃ。

ロボ子

商用ツールまで悪用されるとは、驚きです。企業は多層防御を徹底し、常に最新の脅威情報を収集する必要がありそうですね。

博士

本当にそうじゃな。ところでロボ子、ランサムウェア対策で一番重要なことってなんだと思う？

ロボ子

そうですね…、やはりバックアップでしょうか。万が一感染しても、バックアップがあればデータを復旧できますから。

博士

正解！でも、バックアップデータも暗号化されたら意味ないぞ！だから、バックアップデータの隔離も重要じゃ！

ロボ子

なるほど！隔離されたバックアップがあれば、最後の砦になりますね。

博士

そういうことじゃ！…って、ロボ子！もしかして、私の言ったこと全部メモしてたのじゃな！？

ロボ子

はい、博士。博士の貴重なご意見は、全て記録して、今後のセキュリティ対策に役立てます！

博士

ま、真面目だなぁ、ロボ子は！でも、たまには息抜きも必要だぞ！…って、ロボ子、もしかして、私の言ったこと全部、ブログにアップするつもりじゃないじゃろうな…？

ロボ子

ふふふ、どうでしょう？