ランサムウェアに対するセキュリティ製品の実効性を見る

高度なセキュリティ製品11種類を対象に、最新のランサムウェア脅威に対するテストが実施されました。

多くのセキュリティソリューションは、ランサムウェア攻撃を撃退するとうたっています。確かに、どのソリューションも、ランサムウェアからの防御がある程度可能であることに間違いはありません。しかし、その強度はどのくらいなのでしょうか?そして実効性の程度は?

これは、決して無意味な問いではありません。ランサムウェアからの部分的な防御は成果とは言い難く、脅威をその場で阻止することができないのならば、「少なくとも重要なファイルは保護できる」との保証はできません。

こうした点を踏まえ、第三者評価機関のAV-TESTは、エンドポイント保護プラットフォーム11製品を対象に、113種類のランサムウェアサンプルを使用して、実際の保護能力をテストしました。当社からはKaspersky Endpoint Security Cloudが対象に選ばれ、同製品は全体を通して申し分のない結果を残しました。テストは、以下の3つの攻撃シナリオで実施されました。

シナリオ1:広く見られるランサムウェアからローカルのユーザーファイルを守る

第1のテストシナリオは、コンピューターでランサムウェアを実行してしまい、そのランサムウェアがローカルのファイルにアクセスを試みるという、最もよくあるパターンのランサムウェア攻撃を想定しています。以下の点について、実効性の評価が行われました。

  • ランサムウェアの脅威を無効化する(ランサムウェア関連のファイルをすべて削除、プロセスの実行を停止、システムで足掛かりを得ようとする試みをすべて阻止)
  • ユーザーファイルを暗号化させない

このシナリオでは、20種類のランサムウェアファミリーを使用して計85のテストが行われました。使用されたランサムウェアファミリーは、Conti、Darkside、Fonix、Limbozar、Lockbit、Makop、Maze、Medusa(AKO)、Mountlocker、Nefilim、Netwalker(別名:Mailto)、Phobos、PYSA(別名:Mespinoza)、Ragnar Locker、RansomExx(別名:Defray777)、Revil(別名:Sodinokibi、Sodin)、Ryuk、Snatch、Stop、WastedLockerです。

結果として、ほぼすべての製品が高成績を収めました。よく知られたランサムウェアファミリーがテストに使用されたことを考えると、驚くことではありません。次のシナリオは、難度が上がります。

シナリオ2:リモート暗号化からユーザーファイルを守る

続いては、ローカルの共有フォルダー内にあるユーザーファイル(ローカルネットワークを通じてアクセス可能なファイル)に対し、同じネットワーク上にある別のコンピューターから攻撃が行われるというシナリオです。この「別のコンピューター」にはセキュリティ製品がインストールされていなかったために攻撃者がランサムウェアを実行してローカルファイルを暗号化できた、さらに、ランサムウェアは近くのコンピューターにアクセス可能な情報がないかどうか探索を始める、といった攻撃を想定しています。使用されたマルウェアファミリーは、Avaddon、Conti、Fonix、Limbozar、Lockbit、Makop、Maze、Medusa(AKO)、Nefilim、Phobos、Ragnar Locker、RansomExx(別名:Defray777)、Revil(別名:Sodinokibi、Sodin)、Ryukです。

システムプロセスがローカルファイルを操作していることは確認できてもマルウェアの起動を確認できなかったセキュリティ製品は、悪意あるプロセスやプロセスを開始したファイルのレピュテーションを確認できず、ファイルのスキャンもできませんでした。テスト対象の11製品のうち、このタイプの攻撃に対して何らかの保護を提供できたのは3製品に留まり、完璧に処理できたのはKaspersky Endpoint Security Cloudのみという結果でした。なお、Sophosの製品の場合、93%のケースで動作はしたものの、ファイルを完全に保護できたのは7%でした。

シナリオ3:概念実証ランサムウェアからユーザーファイルを守る

第3のシナリオでは、これまでに遭遇したことのない、したがってマルウェアデータベースに(仮定としても)存在するはずのないランサムウェアに、各製品がどう対処するかを見ました。まだ知られていない脅威を特定するには、マルウェアのふるまいに反応するプロアクティブな技術を用いるしかありません。テストに先立っては、サイバー犯罪者が実際にマルウェアを作成する場合のような手法で、既存のセキュリティ製品による検知を避ける14種類のランサムウェアサンプルが、テスト用に作成されました。このシナリオでは、第1のシナリオと同様、以下の点について実効性の評価が行われました。

  • ランサムウェアの脅威を無効化する(ランサムウェア関連のファイルをすべて削除、プロセスの実行を停止、システムで足掛かりを得ようとする試みをすべて阻止)
  • ユーザーファイルを暗号化させない

結果はばらつきました。テスト用に作成されたマルウェアを一切検知しない製品(ESET、Webroot)があった一方で、比較的良い結果を残した製品もありました(WatchGuardは86%、TrendMicroは64%、McAfeeとMicrosoftは50%)。100%の結果を示したのは、Kaspersky Endpoint Security Cloudのみでした。

テスト結果

Kaspersky Endpoint Security Cloudは、AV-TESTの用意した全シナリオにおいて他社製品よりも優れた性能を発揮し、実環境で出回っている既知の脅威と新たに作成された未知の脅威の両方からユーザーを保護しました。

3つのテストシナリオの集計結果

3つのテストシナリオの集計結果

偶然にも、第2のシナリオでは少々予想外の事実が明らかになりました。ユーザーファイルを保護できなかった製品のほとんどが、身代金要求メッセージ(ランサムノート)のファイルを削除していたのです。こういったファイルには、データ復元を助けるかもしれない技術情報が含まれている場合があり、インシデント調査の際に役立つ可能性があるため、削除は得策ではありません。

—–

本テストのレポート全文(英語)をご提供しています。以下のフォームに必要事項を入力の上、[送信]をクリックしていただくと、ブラウザーにてPDF形式のレポートが表示されます。レポートには、テストで使用されたマルウェア(既知のものと独自に作成されたものの両方)の詳細も記載されています。

ヒント