チェック・ポイントのSandBlastが、拡大するランサムウェア「Cerber」の攻撃からユーザを保護

6月22日午前6時44分(UTC -協定世界時間)、チェック・ポイントのパートナーであるAvananは、同社のCloud Security Platformを使用している複数企業に対する大規模なランサムウェア攻撃を検出しました。この攻撃は、ゼロデイの攻撃対策ソリューションであるCheck Point のSandBlastでなければ検出できなかったでしょう。攻撃には、フィッシングメールにより拡散させ、ユーザ・ファイルをAES-265とRSAで暗号化して使用不能にする非常に悪質な「Cerber」と呼ばれるランサムウェアが含まれていました。Cerberはファイルを暗号化した後、ユーザがドキュメントや写真、ファイルへのアクセスを再び可能にするためには、1.24ビットコイン(約500米ドル)の「身代金」を支払うように要求します。

攻撃を受けたユーザ数を正確に把握するのは困難ですが、Avananは同社プラットフォーム上のMicrosoft Office 365メール・ユーザの57%が攻撃を受け、少なくとも1つのランサムウェアを企業メールボックスに受信したと推定しています。Avananの解析によると、バックエンドのマルウェア解析ツールとしてSandBlastを使用していたAvananの顧客には、いち早く攻撃初期段階からこのマルウェアに対する保護が提供されましたが、マイクロソフト社が攻撃を検出し、悪意ある添付ファイルを削除し始めたのは攻撃から約29時間後でした。

Avanan社のCloud Security PlatformのCheck Point SandBlastがランサムウェアCerberを検出した際の画面

チェック・ポイントの脅威対策部門責任者であるネイサン・シューカミ(Nathan Shuchami)は次のように述べています。「ビジネス・ネットワークを狙うマルウェアの巧妙化は急速に進んでおり、今回の攻撃はまさにその事実を示す例と言えます。この攻撃は複数の回避技術を使用して(おそらくクラウド型メール・プロバイダを対象とした事前テストも行い)、従来型サンドボックスをすり抜けることに成功しました。今回のケースは、新たなゼロデイ攻撃に熱意を注ぐハッカーの姿と、サイバー犯罪者に対するネットワーク安全性の確保という企業が直面する課題を浮き彫りにするものです。チェック・ポイントのSandBlast Zero-Day Protectionは、組織が必要とする高度な脅威防御機能を提供し、業界最高の検出率で最新の脅威に対する安全性を確実に保証します」

また、AvananのCEOギル・フリードリヒ氏(Gil Friedrich)は次のように述べています。「クラウド型メール・プログラムのユーザの多くは、マイクロソフトやGoogleなどの大手クラウド型メール・プロバイダに、セキュリティを含むすべての機能を“アウトソース”していることに安心しています。しかし実際には、ハッカーはまず大手クラウド型メール・プロバイダのセキュリティ対策をすり抜けるようにマルウェアを設計するため、新たなマルウェアの多くは検出されることなくクラウド型メール・プログラムを通過しているのです。これに対し、Check Point SandBlastは今回やこれまでの攻撃で、最も高度で巧妙な回避技術を備えた攻撃への防御にも優れた効果を発揮することを実証しました。こうした現状を受け、AvananのCloud Security Platformのユーザの大部分は、Check Point SandBlastのような高度なマルウェア防御システムを有効化してマルウェアの脅威への対策を講じているのです」

Cerberに感染したユーザのブラウザに表示されたメッセージの画面

この事例のポイントは、すべてのサンドボックス製品が同じレベルにあるわけではないということです。企業ネットワークやクラウド・アプリケーションのセキュリティ対策を目的としたベンダ選定の際には、提案された製品の機能やスペックを比べるだけでなく、まずマルウェアの検出率を確認してみましょう。

SandBlast Zero-Day Protectionについて詳しくはこちらをご覧ください。