~ソフォスが公開した新しいレポートで、攻撃者がわずか数時間で ランサムウェアを実行する方法を解説~

novembre 16, 2023 —

Cybersecurity-as-a-Service を開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区代表取締役中西智行)は本日、アクティブアドバーサリーに対応する防御を強化する複数の新しいセキュリティ機能を発表しました。また、ソフォスはこれらのアクティブアドバーサリーがランサムウェアをわずか数時間で実行するなど、攻撃が迅速化していることを明らかにした「セキュリティ担当者のための2023年版アクティブアドバーサリーレポート(英語)」も本日公開しました。

Sophos X-Opsのレポートでは、ショーウィンドウ破りのように迅速に実行されるランサムウェア攻撃のフォレンジックと、この新しい素早い攻撃で使用している正確な戦術、技術、手順(TTP)について説明しています。これらのTTPには、攻撃者の目的である重要なリソースにアクセスするために使用されることが多いLOLBin(環境寄生型バイナリ)やその他のツール、行動が含まれます。この報告書にあるエビデンスと、特定の攻撃の展開方法の詳細な説明から、攻撃チェーンの早期の段階で侵入を検出して攻撃を妨害し、組織を保護できるように、最新の攻撃に合わせて定期的に調整できるセキュリティソリューションが必要であることが分かります。

ソフォスの最高製品責任者のRaja Patelは、次のように述べています。「現在の攻撃者は、TTPを継続的に進化させており、攻撃を素早く完了するようになっています。多くの場合、正規のツールを使用しながら多段階の攻撃を実行しています。そのため、サイバーセキュリティの防御機能には、攻撃を予測し、動的に対応できることが求められています。ソフォスは、脅威がエスカレートしないように、攻撃者の侵入を阻止するプロアクティブなアプローチによって、組織が攻撃の影響を受けることがないようにします。Sophos X-Opsは、世界50万以上の企業や組織から収集した知見に富む脅威インテリジェンスを活用し、迅速で大規模な脅威を特定して対応する、業界初となるセキュリティ機能を実装する製品を開発しています」

革新的な新機能には以下が含まれます。

  • Active Threat Responseを搭載した新しいSophos Firewall v20ソフトウェア:ファイアウォールルールを追加せずに、攻撃を自動的に防止して、ネットワークへの侵入を防ぎます。Sophos X-OpsはCobalt Strikeのビーコンが攻撃者によって悪用される多くのケースを確認してきましたが、例えば、このビーコンが検出されて管理者に警告される場合、ビーコンの宛先をアドホックブロックリストに追加して、自社のネットワークの他のデバイスがその宛先のIPアドレス、ドメイン、URLにアクセスできないようにできます。この対応は、新しい「セキュリティ担当者のためのアクティブアドバーサリーレポート」にも記載されています。Sophos Firewallソフトウェアの新バージョンには、ファイアウォールの内側にあるアプリケーションへのセキュアなリモートアクセスを容易に提供するゼロトラストネットワークアクセス(ZTNA)ゲートウェイの統合、複数の分散型の拠点を有する企業をサポートするネットワーク拡張の強化、管理機能の利便性の強化などが含まれています。
  • Sophos Network Detection and Response(NDR)とSophos Extended Detection and Response(XDR):現在、Sophos XDRおよびSophos Managed Detection and Respons(MDR)を利用されているお客様はSophos NDRを利用して、脅威検出機能をネットワークに拡張できます。Sophos NDRは、攻撃の兆候の可能性がある疑わしい悪意のあるトラフィックパターンがないか、ネットワーク内部の活動を継続的に監視し、不正なデバイスや保護されていないデバイス、内部関係者による脅威、ゼロデイ攻撃、モノのインターネット(IoT)や運用技術(OT)デバイスを標的とする脅威など、幅広いセキュリティリスクを検出します。
  • Sophos XDRの機能強化:複数のソースのセキュリティデータを連携させることで、脅威を迅速に検出し、アクティブアドバーサリーの活動をできる限り早期に阻止します。サードパーティインテグレーションのセットが拡張され、エンドポイント、ファイアウォール、クラウド、アイデンティティ、ネットワーク、メールソリューションにまたがってテレメトリを簡単に収集および拡充し、組み合わせて利用することが可能になりました。また、セキュリティオペレーションとアナリストのワークフローおよびケース管理機能が強化され、ノイズの多い膨大なアラートをフィルタリングでき、単一のコンソールで脅威を完全に可視化できます。また、脅威への対応を自動化し、作業負荷を軽減できます。

ソフォスのフィールドCTOであるJohn Shierは、新機能のリリースについて次のように述べています。「攻撃が迅速になっている中で、組織ができる対策の1つは、可能な限り攻撃者にとっての障害を増やすことです。システムが適切にメンテナンスされていれば、攻撃者は侵入するために多くの労力を費やす必要があります。これにより最終的な攻撃を行うまでに時間がかかるようになり、検出できる時間も長くなります。強固な多層防御を確立していれば、攻撃者によっての障害が多くなり、必要となるスキルレベルも高くなります。多くの攻撃が成功しなくなり、攻撃者は最終的な目的を達成できなくなります」

  • 提供開始時期について

Sophos Firewallの新しいソフトウェアは、ソフォスのパートナーおよびマネージドサービスプロバイダ(MSP)のグローバルチャネルを通じて、すぐにご購入いただけます。また、ファイアウォールのライセンスを購入されているお客様には無償アップグレードとして提供されます。新しいSophos NDRとXDRのサードパーティインテグレーションパックも11月末までに提供される予定です。

ユーザーは、クラウドネイティブなSophos Centralプラットフォームでソフォスのソリューションを簡単に管理できます。このプラットフォームでは、ソフォスのセキュリティ製品ポートフォリオとマネージドサービスが情報を共有し、感染したエンドポイントを隔離し、攻撃者のラテラルムーブメントを阻止するなど、脅威に自動的に対応できます。また、組織は、Sophos MDRを、脅威を検出して対応する包括的なサービスとして利用できます。Sophos MDRは、19,000社以上の顧客に利用されている世界で最も普及しているMDR製品であり、業界初となるサードパーティとの統合機能インシデント対応の費用を最大で100万ドルまで補償する仕組みを備え、24時間365日の脅威ハンティング、検出、対応を実現します。

  • アナリストとチャネルパートナーの評価

IDC社セキュリティおよびトラスト製品調査部門担当バイスプレジデントであるChris Kissel氏は、次のように述べています。「多くの組織でセキュリティ製品の統合に対するニーズが高まっています。特に中小企業では、エンドポイントセキュリティベンダーから購入した複数の製品を統合する傾向が多く見られます。ベンダー製品を統合する主な理由は金銭的な問題ではなく、セキュリティの運用を効率化することです。連携して動作するように設計され、XDRプラットフォームによって一元管理され、セキュリティエコシステムのさまざまな側面に対応するツールを利用できれば、セキュリティ上の優れた成果を達成できます」

Data Integrity Services社の社長であるSam Heard氏は、次のように述べています。「これらの最先端のイノベーションによって、当社のようなMSPは、より積極的に顧客にアプローチできます。顧客のさまざまな環境に対して、状況に合わせてカスタマイズ可能な保護機能を提供し、攻撃者を確実に寄せ付けないことが可能になります。ソフォスは、変化する脅威から保護するために、継続的にテクノロジーポートフォリオを更新しています。その結果、脅威が被害をもたらす前に早期の段階で検出して対応する能力に、大きな自信を持つことができるようになりました」

Chitale Dairyの最高情報セキュリティ責任者兼パートナーである Vishvas Chitale氏は次のように述べています。「Sophos NDRのおかげで ITチームの生産性が大幅に向上し、サイバーセキュリティの他のプロジェクトや側面に集中できるようになりました。また、IPベースのフローをリアルタイムで検出できるようになったことで、ネットワーク内部で何が起きているのかを第三の視点で把握できるようになりました。Sophos Firewall v20と Active Threat Responseを導入したことで、レスポンスは瞬時になり、ローカルの ITチームが関与する必要はさらに少なくなりました。ホスト名、ユーザー、プロセスまたは実行ファイル、脅威の性質など、感染したデバイスの詳細を特定するセキュリティハートビートテレメトリが同期されているため、侵害されたホストを同時に特定できます。これにより、セキュリティ・レスポンスタイムが向上するだけでなく、あらゆる脅威の除去が容易になり、ITチームの時間をより戦略的なプロジェクトに充てることができます。また、Sophos Firewall v20の新しい IPv6 BGP機能のおかげで、ファイアウォールのきめ細かい BGPv6コントロールを活用して、ネットワークルーティングを合理化できました。ネットワークや SD-WANの強化に加え、Sophos Firewallを使用してデータセンターネットワークを構築し、東西および南北のフローを実現できることが素晴らしいです。Sophos Firewallは卓越したネットワークセキュリティプラットフォームであり、シングルペインで簡単にセキュリティ体制を管理できます」

●ソフォスについて

ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR)サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp)をご覧ください

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées pour surmonter les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversales de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.