Microsoft Defender for Endpointがランサムウェアなどの人間操作型攻撃を自動的に阻止する機能を提供

今回は、弊社でも提供しているエンドポイントセキュリティソリューションであるMicrosoft Defender for Endpointについて機能追加がありましたのでご紹介します。

Microsoftの記事はこちら

Microsoft Defender for Endpointは、エンドポイントに対するさまざまな脅威から組織を保護するために開発された先進的なソリューションです。特に、ランサムウェアなどの人間操作型攻撃に対しては、業界初のAutomatic Attack Disruption という機能を使って、マシンスピードで攻撃を阻止することができます。この機能はどのように動作するのでしょうか?

そして、どのような効果が期待できるのでしょうか?この記事では、その仕組みと実例を紹介します。

 

人間型攻撃とは?

人間操作型攻撃とは、攻撃者が手動でコマンドやツールを実行してエンドポイントやネットワークに侵入し、データや資産を奪ったり破壊したりするような攻撃です。ランサムウェアはその代表例であり、2022年には世界中で約2億3667万件のランサムウェア攻撃が発生しました。2031年までには年間2650億ドルのコストが発生すると予測されています。人間操作型攻撃は一般的で複雑な攻撃であり、セキュリティチームにとって早期に検知することが非常に困難です。なぜなら、攻撃者は通常のユーザー行動に偽装したり、複数の攻撃ベクター(エンドポイント、メール、アイデンティティ、アプリ)を組み合わせたりしています。

 

Automatic Attack Disruptionの仕組み

  • 攻撃の始まりが一つのデバイスで検出された場合、そのデバイスだけでなく、組織内の他のすべてのデバイスにも予防策を施します。攻撃者はどこにも進めなくなります。
  • 侵害されたユーザーをすべてのデバイスで隔離することで、攻撃者が悪意のある行動(横断移動、資格情報の窃取、データの流出、リモートでの暗号化など)を実行する前に先手を打ちます。この隔離は分散型であり、たとえユーザーが最高レベルの権限を持っていても、攻撃者は組織内のどのデバイスにもアクセスできなくなります。

この機能により、暗号化を試みられた対象デバイスの91%が救われました。

 

Automatic Attack Disruptionの事例

この機能はすでに多くの顧客にとって有効な防御手段となっています。例えば、2023年8月には以下のような事例がありました。

  • 医学研究所のデバイスがハッカーに侵害されました。人命や数百万ドル相当の研究成果が危険にさらされました。
  • Microsoft Defender for Endpointはautomatic attack disruptionを使って攻撃を検知し、侵害されたユーザーを隔離しました。攻撃者は他のデバイスにアクセスできず、暗号化を実行できませんでした。
  • 研究所のセキュリティチームは、Microsoft Defender for Endpointのダッシュボードから攻撃の詳細を確認し、対策を講じました。研究所は大きな被害を免れました。

このように、Microsoft Defender for Endpointのautomatic attack disruptionは、人間操作型攻撃から組織を守るために、マシンスピードで攻撃を阻止することができます。

 

 

この記事を書いた人

髙橋 和輝
髙橋 和輝
テクニカルマーケターとして、新技術の検証、ブログ執筆、セミナー講師を行っております!
学生時代はアプリ開発に興味がありましたが、インフラ、セキュリティ事業を経て、現在はクラウド屋さんになっております。
コロナ禍前は、月1で海外旅行にいくなどアクティブに活動していましたが、最近は家に引きこもってゲームが趣味になっています。

宜しくお願い致します!