starthome-logo 無料ゲーム
starthome-logo

ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表

2021年3月18日
<<報道資料>>
ソフォス株式会社

ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表

~ファイルレス・マルウェア、ランサムウェア、およびリモートアクセス・エージェントを検出するよう設計されているダイナミック・シェルコード・プロテクション~

※本資料は2021年3月4日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、ファイルレス・マルウェア、ランサムウェア、リモートアクセス・エージェントを、セキュリティを侵害したコンピュータの一時的なメモリ領域にロードし、検出を回避しようとする攻撃に対する新たなプロテクション機能を発表しました。ソフォスの研究者は、「ヒープ領域におけるコード実行を検出するソフォスの新しいプロテクション機能」と題する新しいブログ投稿(https://news.sophos.com/covert-code-faces-a-heap-of-trouble-in-memory )を公開し、攻撃コードをコンピュータメモリの動的な「ヒープ」領域に直接挿入し、コードの実行権限を使用して別の「ヒープ」メモリを取得するという、一般的なソフトウェアでは見られない挙動を検出する方法について詳細に説明しています。ソフォスの研究者は、このようなヒープ領域間のメモリ割り当ての挙動を検出する新しいプロテクション機能を開発しました。

ダイナミック・シェルコード・プロテクションと呼ばれるこの防御機能によって、検出を回避する手法としてメモリを使用することが非常に困難になります。

ソフォスのニュースサイトで最近連載したContiランサムウェアの現状に関する記事(https://news.sophos.com/ja-jp/tag/conti/ )でも説明されていますが、攻撃を完了するために必要となるリモートアクセス・エージェントをロードおよび実行するときに、攻撃を検出されないようにする隠れ蓑としてメモリが利用されることが多くなっています。Contiでは、リモートアクセス・エージェントとしてCobalt Strikeが使用されています。

ソフォスのエンジニアリング部門担当ディレクターのMark Lomanは、次のように述べています。「セキュリティが侵害されたネットワークに攻撃者が侵入するのを防ぐことは、あらゆる組織にとっての目標となります。リモートアクセス・エージェントがインストールされてしまうと、あらゆる種類の攻撃を容易に実行できるようになることから、この目標は非常に重要です。例えば、リモートアクセス・エージェントによって、任意のコード実行、認証情報へのアクセス、権限昇格、情報の収集と窃取、ネットワークの水平移動、ランサムウェアの展開などが実行される場合があります。 攻撃用のコードは、高度に難読化されてパッキングされ、メモリに直接ロードされて、検出を回避しようとします。コンピュータのメモリは、セキュリティツールによって定期的にスキャンされないため、コードを実行するために難読化を解除したり、パッキングを解凍したりする場合でもその存在が検出されないことが多くあります。ソフォスは、メモリにロードされる多段階型のリモートアクセス・エージェントやその他の攻撃コードの一般的な特徴である「ヒープ領域間のメモリの割り当て」を特定し、この攻撃に対するプロテクション機能を開発しました」

ダイナミック・シェルコード・プロテクションは、アプリケーションなどのコードが「実行」権限のあるメモリ領域に保存されることを利用して対策を講じています。この「実行」権限がある領域にコードを保存することで、アプリの実行が可能になります。しかし、一般的にアプリはデータを解凍したり保存したりするために、いくつかの新たな一時的メモリ内ワークスペースを必要とします。この可変的なワークスペースは、通常、“ヒープ”メモリと呼ばれます。アプリは、実行権限のあるヒープメモリの割り当てを要求できますが、多くのサイバー攻撃では、リモートアクセス・エージェントのローダーがヒープメモリに直接注入されます。注入された後には、受け取ったリモートアクセス・エージェントを実行するために、ヒープからさらに実行権限のあるメモリ領域を取得する必要があります。この挙動が、ヒープ領域間のメモリ割り当てと呼ばれるものです。

ソフォスの研究者たちは、このような挙動がサイバー攻撃の明確な兆候であると認識し、ヒープメモリから別のヒープメモリへの実行権限の割り当てをブロックする実用的なプロテクション機能を設計しました。このプロテクション機能を利用すると、通常のアプリケーションの実行を妨げることなく、リモートアクセス・エージェント、ファイルレス・マルウェア、ランサムウェアなどの多くのサイバー攻撃を防止できます。

先述のMark Lomanは、次のように述べています。「悪意のあるコードでも正規のコードであっても、プロセスがヒープメモリ間の割り当てルールに抵触した場合、ダイナミック・シェルコード・プロテクションによってそのプロセスは阻止され通知されます。セキュリティ専門家は、通知を受けて、何が起こっているのかを詳しく調査できます。この新しいプロテクション機能はあらゆる攻撃を防止できるわけではありませんが、ステルス性の高いコードを利用する攻撃の基本的な動作をブロックできます。これにより、攻撃を成功することがさらに難しくなり、安全性がさらに向上することになります。ダイナミック・シェルコード・プロテクションは、クラウドや機械学習に依存していません。この機能によって、難読化されたマルウェアや、セキュリティが侵害された後にメモリに直接ロードされるCobalt Strikeビーコンなどのリモートアクセス・エージェントとの戦いが大きく変わることになるでしょう」

ダイナミック・シェルコード・プロテクションは、Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )に統合されています。

●ランサムウェア対策のための一般的なアドバイス
・インターネットに接続するリモート・デスクトップ・プロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。

・RDPにアクセスする必要がある場合は、VPN接続と組み合わせて利用してください。

・EDR(Endpoint Detection and Response)機能や365日24時間体制でネットワークを監視するマネージド・レスポンスチームなど、サイバー攻撃を予防、保護、検出する多層防御のセキュリティ・ソリューションを使用します。

・ランサムウェア攻撃を阻止するための攻撃が進行していることを示す5つの指標に注意してください。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked

・効果的なインシデント・レスポンス計画を策定し、必要に応じて更新します。脅威の監視や、緊急のインシデント対応のためのスキルやリソースについて不安がある場合は、外部の専門家が提供しているサービスを利用することを検討してください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx


●その他の参考資料
・新しい調査結果を報告した「金融機関を標的とするGootkitマルウェアの配信方法が、多様なペイロードを拡散する「Gootloader」プラットフォームへ変化」では、Gootloaderがファイルレス・マルウェアをメモリに直接注入する方法を解説し、ソフォスの新しいダイナミック・シェルコード・プロテクションがどのようにこのマルウェアを検出するかを説明しています。
https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/

・Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。

- タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/

- 検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/

- Conti ランサムウェア攻撃への心構えと対策 - IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/

- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx

・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx

・ランサムウェアがITチームに与える影響についてソフォスがグローバルに実施した調査結果「サイバーセキュリティ:企業を守る人材とスキルの現状」
https://www.sophos.com/ja-jp/medialibrary/pdfs/whitepaper/sophos-cybersecurity-the-human-challenge-wp.pdf

●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に

    2. 後藤真希、“衝撃を受けたアイドル”を聞かれズバリ実名告白「誰もが衝撃を受けたと思う」

    3. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    4. 中居正広氏側の反論の6文字に違和感「誰の言葉?」「とても引っかかる」X議論白熱/送付全文

    5. 「80歳に見えない」国民的女優、のんと2ショット「若い頃に似てる」「奇跡」圧倒的美貌に騒然

    6. 和田アキ子突如泣き出した 番組で異例の「トイレ休憩」後にハプニング スタジオ騒然

    7. 指原莉乃「実はすんごいことが起きまして」喜びの報告に「本当に凄い」「私まで嬉しい」祝福の声

    8. 柏木由紀に「流出した写真でエライ事に」芸人の“プチ炎上”ツッコミに釈明「今、まっとうに」

    9. 浜崎あゆみ、バスト丸見えの投稿にネット騒然「巨乳すぎて不自然」

    10. にゃんこスター・アンゴラ村長の本気グラビア!ふつうの30歳が魅せるランジェリーカットや入浴シーン

    1. 父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. 後藤真希、“衝撃を受けたアイドル”を聞かれズバリ実名告白「誰もが衝撃を受けたと思う」

    4. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    5. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    6. 関ジャニ錦戸亮、登場人物が全員クズだらけの不倫劇もメディア沈黙で批判殺到

    7. 「名探偵コナン」最大の謎、蘭姉ちゃんのあの角の正体がついに判明

    8. ガーシー、佐野ひなこの暴露を示唆でネット騒然「ファンだったのに」

    9. 中居正広氏側の反論から浮かんだ2つの新事実を指摘「性暴力の評価はともかく…」紀藤正樹弁護士

    10. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    Tips

    1. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    2. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 大久保佳代子「売るお米あるなら、ぜひ安く売って」江藤農水相の「売るほどある」発言に

    2. ユージ「農水大臣が言うってのは確かに気になる」 江藤農水相「米売るほどある」発言に皮肉

    3. 准看護師試験に合格の難病俳優、異性へのAED使用に「患者のプライバシーには極力気を使って」

    4. 元巨人の辻東倫氏が師匠との2ショット写真公開「かっこよすぎます ありがとうございました」

    5. 新浜レオン「頑張レオン、お疲レオン」“レオン語”不発も「流行語大賞を目指してるんです」

    6. 「令和のマリーアントワネット」 農相のコメ巡る発言、与野党が批判

    7. 永野芽郁の大河降板にNHK「検討した結果、この申し出を受け入れる」公式サイトで発表

    8. うちの王様にはどうしても抗えない【第304話】「いるのが当たり前だから」

    9. 『犬ハラスメント』の被害報告をする夫婦→困っているかと思いきや…むしろ羨ましい光景が90万再生「許す」「私もチワハラされたいw」と悶絶

    10. 【阪神】22日先発デュプランティエ「絶対に抑えてやる」G倒に闘志 全球種の軌道を入念に確認

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.