マクニカ
セキュリティサービス 2025.05.13

EDR回避攻撃とその対策:最新の脅威と効果的なセキュリティ対策

はじめに

企業や個人が保有する貴重なデータを狙った攻撃者が次々と新たな手法を駆使し、防御の壁を突破しようとしてくる中、Endpoint Detection and ResponseEDR)はサイバーセキュリティの最前線で攻撃を早期発見し、被害を最小限に抑える役割を果たしています。しかし、攻撃者もまたEDRの監視を回避する技術を身につけ、その巧妙さを増しているのが現状です。

本記事では、「EDR回避攻撃とその対策」をテーマに、最新情報を基に立ち上がったリアルタイムの脅威と、それに対抗するための効果的なセキュリティ戦略について深く掘り下げていきます。

目次

  • EDRの役割と重要性
  • EDR回避技術の現状とそのリスク
  • 具体的なEDR回避事例:長期にわたる情報流出
  • 脅威ハンティングの重要性とその実践方法
  • EDR回避攻撃に有効な脅威ハンティングの要素

EDRの役割と重要性

 EDRは、エンドポイント(ユーザーのパソコンやサーバーなど)レベルでの異常な動作を即座に検知し、攻撃の進行を迅速に阻止するための重要な役割を果たしています。主に、エージェント、センサー、管理サーバーの3つの要素で構成されていることが多いです。

エージェントは、各エンドポイントにインストールされ、そのシステムの動作を常時監視する役割を担います。センサーは、エンドポイントから収集するテレメトリ(動作データ)を管理サーバーに送信し、管理サーバーは、このデータを統合的に分析して、攻撃の兆候やインシデントを特定します。
スライド6.JPG

EDRが監視する主なポイントは、以下の3つです。

  1. アプリケーションとユーザー動作:不審なプロセスの実行や、通常とは異なる権限昇格動作を検知します。例えば、通常は扱わない高権限を突然要求するアプリケーションなどが該当します。
  2. 外部通信:外部のC&Cサーバーとの異常な通信や、大量のデータが不正に送信されるといった通信異常を監視します。これにより、見慣れぬ通信先や、大量のデータが送信されていることを早期に発見します。
  3. システム動作:レジストリの変更、スクリプトの実行、メモリ上での異常動作などを検知します。システム内部で普段は起こらない操作が行われた場合に警告を発するのです。

EDR回避技術の現状とそのリスク

EDRは、エンドポイントでの異常な動作を監視し、攻撃の兆候を即座に検知することで、サイバー攻撃への迅速な対応を可能にする強力なツールですが、攻撃者はEDRの監視を回避するための新たな技術を開発しています。

昨今観測されているEDR回避技術例の概要を、一部ご紹介します。

  • エージェント自体を止める
     本来は「安全」と思われている正規ドライバの古い欠陥を悪用し、コンピュータの一番深い部分(カーネル)を自由に操作した後、脆弱ドライバを使ってセキュリティ製品を背後から停止する
  • 記録機能を止める
    Windowsの「行動記録システム(ETW)」を止め、自動で残る操作の記録(イベント)が取得できなくなり、怪しい挙動を検出できなくなる
  • EDRの見張りを無効化
    セキュリティ製品が仕掛ける見張りポイント(フック)を外し、監視を無効化することで本来検知できる怪しい動きを見逃すようにする
  • 機能の呼び出し履歴の偽装
    プログラムが「どの機能を実行したか」という足跡(コールスタック)を、偽の履歴に書き換え、本来は悪意のある動作でも、あたかも「信頼できる機能」から呼ばれているように見せかける。それにより、セキュリティソフトが異常を見落としやすくする
  • EDRが標準で監視しない箇所を悪用
    1つのプログラム(プロセス)の中で、スレッドよりも軽量に処理を切り替えられる仕組み(ファイバ)を悪用する。ファイバの動きを監視していない一部のセキュリティソフトでは監視を回避する
  • EDRサーバーとの通信を遮断
    EDRと管理サーバー間の検知・報告の通信をブロックし、EDRを孤立させ、EDRが異常を伝えられず、実質的に監視を止める

            スライド7.JPG

            具体的なEDR回避事例:長期にわたる情報流出

            次に、EDR回避技術を用いた具体的な攻撃事例について見ていきましょう。

            国内企業の観測事例として、偽造文章を含むスピアフィッシングメールを使用された結果、システムに不正に侵入し、配信されたフィッシングメール内の悪意あるスクリプトを実行させることで、EDRの監視を無効化した上で、ファイルやデータを長期的に流出させることに成功する攻撃がございました。さらに、パブリッククラウドを利用して通信を正規に偽装し、企業のセキュリティ防衛線を突破していました。

            このような事例は、EDRを導入していても、攻撃者が高度なステルス技術や正規の通信を悪用することで、侵入・潜伏を続けることができる現実を示しています。防御対策が存在していたにもかかわらず、それを回避する新たな手法が生まれ、その成功率は高まっているのです。

            脅威ハンティングの重要性とその実践方法

            このようにEDRが回避される状況において、「脅威ハンティング」は効果的な対策の一つです。脅威ハンティングは、侵入後の攻撃をなるべく早い段階で発見駆除するために、セキュリティセンサーのアラートを待たずに能動的に脅威を発見し、駆除をしていくアプローチです。
            具体的には、専用ツールを活用してエンドポイントをスキャンし、不審な動きを検出します。

            脅威ハンティングのステップとして、以下のようなプロセスが効果的です。

            1. PCやサーバーのスキャン:専用ツールを使用して端末を徹底的にスキャン
            2. スキャン結果の解析:スキャン結果を専門アナリストが解析し、不審な動きを調査
            3. 報告と対策提案:調査結果をもとにしたレポートを提供し、適切な対策を提案

            これにより、EDRを回避するような高度な攻撃でも、潜んでいる脅威を能動的に見つけ出し、迅速に駆除することが可能です。

            スライド17.JPG

            EDR回避攻撃に有効な脅威ハンティングの要素

            EDR回避攻撃に対する効果的な脅威ハンティングの実施においては、複数の重要な要素が求められます。

            1. 業務に影響を与えない広範囲の調査:軽量かつ検出率の高いツールを使用して、既にEDRが導入されている環境に置いても業務を中断させることなく広範囲のエンドポイントを速やかに調査
            2. 従来のアプローチに加え、メモリフォレンジックの実施EDR検出範囲であるプログラムが実行するタイミングのみならず、メモリ上の痕跡も調査することで、マルウェアが活動を始める前の潜伏段階で発見
            3. セキュリティ専門家による詳細調査:ツールで見逃しがちな挙動を知見のあるアナリストにより詳細調査を実施

            スライド20.JPG

            まとめ

            EDRはエンドポイントのリアルタイムな監視、検知において強力なツールですが、攻撃者もそれを回避する手法を進化させています。そのため、EDRだけに頼るのではなく、脅威ハンティングを併用する多層的な防御戦略が有効です。脅威ハンティングを通じて、潜伏中の脅威を早期に検出し、迅速に対応することで、企業のセキュリティをより強固なものにし、重大な被害を未然に防ぐことができます。今後のセキュリティ対策として、EDRと脅威ハンティングの重要性を認識し、適切なセキュリティ戦略を検討することが重要です。

            EDR回避攻撃の実例や詳細な攻撃手法など、本ブログではご案内しきれない内容もございますので、ご興味のある方は個別にお問合せください。

            スレットハンティング&インシデントレスポンスサービス

            検知・調査・対応・予防までトータルで、アナリストが調査、支援するクラウド型のセキュリティサービスの詳細はこちら

            ▼脅威ハンティングツール「TeamT5」ご紹介資料
             詳細資料DLはこちらpng.pngのサムネイル画像

            お問い合わせはこちら.pngのサムネイル画像

            メルマガ登録バナー(セキュリティ).jpg

            RSSで購読する
            ランキング
            カテゴリ
            タグ
            月別アーカイブ