ガートナージャパンは7月23日から25日にかけて、「ガートナー セキュリティ&リスク・マネジメント サミット」を開催している。同イベントにおいて、日本HPのセキュリティエバンジェリストの木下和紀氏が「次世代エンドポイントセキュリティの最前線」というタイトルの下、講演を行った。

AIの進展が目覚ましいが、同時に、サイバー攻撃においてもAIの悪用が進んでおり、被害は深刻化している。こうした状況の中、エンドポイントセキュリティもまた変化が求められている。では、どんな対策を講じればよいのだろうか。

  • 日本HP セキュリティエバンジェリスト 木下和紀氏

2025年上半期のサイバー攻撃手法の特徴

木下氏は、過去20年間にわたり、サイバー攻撃が変遷を遂げていることを紹介した。2005年から2009年にかけては企業によるマルウェア化、国家支援型APTが台頭した。その後、物理破壊が目立ち始め、2015年からはランサムウェアが流行。コロナ禍以降は、サプライチェーン攻撃が見られるようになってきた。

では、2025年のサイバー攻撃の傾向はどうなっているのか。木下氏はサイバー攻撃の段階を「初期感染」「重篤化」「実被害」に分けて、攻撃手法の傾向を紹介した。

初期感染においては、「物理的接触による攻撃」「漏洩済みのアカウントの悪用」「メール等により悪意のあるリンクやファイルを実行させる」「不正な内部プログラムの組み合わせ実行(LOTL:Living off the Land)」といったことが行われている。

次に、重篤化においては「マルウェアの隠蔽(UEFI含む)」「不正な内部プログラムの組み合わせ実行」などが行われている。

最後に、実被害としては「データの暗号化、破壊、身代金の要求」「データの漏洩」などが行われている。

エンドポイントを守るためのポイント

こうした状況の下、木下氏はエンドポイントを保護する際、最も効果があるのは初期感染を防ぐことと指摘した。初期感染を目的に行われる攻撃としては、「ソフトウェア・サプライチェーン攻撃」「メールフィッシング攻撃」「Webフィッシング攻撃」がある。

初期感染に成功したら、「LOTL」「AIを悪用したゼロデイ攻撃」「Webブラウザへの攻撃」が展開され、永続化するためにローレイヤーへの寄生が行われる。

加えて、木下氏は「AIを悪用した攻撃が流行している」と指摘した。というのも、機械学習によって、脆弱性が簡単に見つかるからだ。以前は、ゼロデイの脆弱性にパッチを当てるまで1カ月ほどの猶予があったが、今は数日で攻撃が成立してしまうという。

今、防御しなければならない「LOTL」

そして、木下氏は現在、防御すべき必要があるのは「LOTL」と述べた。LOTLは正規のツールや機能を悪用して攻撃するため、検知が難しい。「OSの機能を悪用して作られたマルウェアはOSとして動いているので検出が難しい」(同氏)

「EDRならLOTLをブロックできると思うかもしれないが、EDRはOSと同程度の権限を持ったプロセスはブロックできない」と、木下氏はEDRではLOTLを防げないと指摘した。

「EDRはマイクロソフトのプロセスなど信頼できるプロセスは除外するので、すべてを監視できるわけではない。攻撃者はここを突く」(木下氏)

  • LOTL(Living off the Land)とは

仮想化技術でエンドポイントを保護せよ

そこで、日本HPは、保護のレベルを高めたソリューションとして、仮想化技術を活用したエンドポイントセキュリティ製品「HP Sure Click Enterprise」を提供している。

同製品は、PCと内部ネットワーク上の受信ファイル、リンク、Webブラウザをハードウェアベースで隔離し、高度な動作分析技術による脅威のフォレンジックを用いて、他のソリューションが見落としている悪意のある活動を特定する。

不正な挙動でレジストリやファイルなどの改ざんや不正なファイルの作成が行われてもOSに影響を与えないという。

同製品を開発したBromiumの創始者であるイアン・プラット氏は、仮想化ソフト「Xen」のオリジナルといえる「XenSource」を公開した人物で、仮想化のエキスパートだ。

プラット氏は65件以上の特許を持っているので、「HP Sure Click Enterprise」には他社が真似できない技術が搭載されているという。