ここ数年、さまざまなエンドポイントセキュリティ製品が発表され、企業のセキュリティニーズに訴えかけています。しかし、対ランサムウェアという観点から考えると、これらの製品で使われている手法は大きく3つに分類されます。ある製品ではそのうちの1つしかサポートせず、他の製品では2つまたは3つを兼ね備えている場合もあります。これらのテクニックについて、詳しく見ていきましょう。
最初の手法は、「検知」をベースにするものです。使われるテクニックは、シグネチャベースであったり、機械学習、ヒューリスティック、行動解析であったりしますが、ランサムウェアを見つけ出してそれを阻止しようとする点では同じです。ランサムウェアの検知と阻止は、アンチウイルスソフトウェアで一般に使われる手法でもあります。これは、既知のランサムウェアやその他のマルウェアに対しては非常に有効な手法ではありますが、最近急増しているFUD(Fully UnDetectable:完全に検知不能)ランサムウェアを見つけ出して阻止することはできません。
さらに悪いことに、ランサムウェアの開発者は攻撃前にVirusTotalなどのサービスを使ってランサムウェアが既存のソリューションで検知されるかどうかをチェックしています。デバイスをランサムウェアから守るために、検知だけに頼るのは適切ではありません。
その他のいくつかのランサムウェア対策ソリューションで使われているのは、被害に遭う前にファイルを別の場所にバックアップしておくという手法です。万一ランサムウェアの被害に遭った場合に、ファイルを暗号化される前の状態に戻すことができます。この手法は、通常のランサムウェアに対しては非常に有効ですが、いくつかの問題を引き起こすことがあります。
まず第1に、ファイルのバックアップは、ディスクI/Oを単純に2倍にします。これは、各々のファイルが修正された際にいちいちバックアップしなければならないためで、システム全体のパフォーマンスに影響します。第2に、最近のランサムウェアはまずバックアップを探して、それを削除してからファイルの暗号化を開始するようになっています。この場合、暗号化に気づく前にバックアップは削除されているため、復旧の手段が失われます。最後に、NotPetyaやShamoonのような最も先進的なランサムウェアでは、ディスク全体を暗号化したり、ただ単純にディスクを完全に初期化してしまいます。この場合には、バックアップも含めたディスク全体が上書きされてしまうために、バックアップは役に立ちません。
対ランサムウェアソリューションが採用している3つめのアプローチは、保護するフォルダを決め、未知のアプリケーションがそこに書き込みを行おうとした際にそれをブロックするというものです。これによって認められたアプリケーションのみがこれらのフォルダにアクセスできます。ランサムウェアは通常未知のアプリケーションであるため、保護フォルダは暗号化されずに済むというわけです。
これは一見良いアプローチに見えるかもしれません。しかし、このような機能は問題を起こす可能性があります。どのアプリケーションに許可を与えれば良いか、ユーザーが判断することは難しいからです。これを完全なマネージド環境で行おうとすると、ユーザーからの不満の嵐になってしまいます。ユーザーはさまざまなサードパーティアプリケーションを使っているため、それらが許可されないとすぐに不満に繋がるからです。しかし、さまざまなアプリケーションの利用を許可することは、たとえそれらが合法的なアプリケーションだったとしても、さらに悪い問題を引き起こす可能性があります。それがランサムウェアを呼び込むバックドアになってしまうことがあるのです。ランサムウェアは、これらの正規のアプリケーションを使ってデータを暗号化することができます。たとえば、Microsoft Wordのマクロを使ってファイルを暗号化するランサムウェアが確認されています。さらに、バックアップと同様に、ディスク全体を暗号化したり消去したりしてしまうランサムウェアには効果がありません。フォルダへのアクセス制御は、ランサムウェアからの保護には完全ではないのです。
そこで、NeuShield Data Sentinelはまったく異なるアプローチを採用しました。ファイルとアプリケーションの間に、保護のためのレイヤーを設けるのです。ランサムウェアやその他のアプリケーションがファイルを変更しようとした場合、オリジナルのファイルはそのまま残るため、意図しない変更が行われた場合でもユーザーはすぐに元の状態に戻すことができます。
他社のソリューションのようにファイルのバックアップコピーを作成するとなると、ディスクの使用量が劇的に増えますし、パフォーマンスにも影響します。NeuShieldの革新的なミラーシールドテクノロジーは、バックアップに頼らずにオリジナルのファイルを保護できるため、Data Sentinelは追加のディスクI/Oをほとんど必要としません。
また、ディスクドライブのブートセクタ(MBR)を監視し、攻撃的なランサムウェアやディスクワイパーマルウェアがブートレコードを書き換えてデバイスが起動しなくなることを防止します。ローレベルのディスクアクセスも同様に監視され、ディスクを破壊、もしくは暗号化しようとするワイパーやランサムウェアからシステムを守ります。
最後に、NeuShield Data Sentinelは既存のアンチウイルスおよびエンドポイントセキュリティソリューションのほとんどと互換性があります。そのため、コンピュータを守り重要なデータを保護するための既存のセキュリティ製品と同時に運用することができます。