2021年12月1日に独AV-TEST GmbHが消費者向けセキュリティソフトを対象に、10のランサムウェア攻撃シナリオで防御能力を測定し結果を発表しました。
測定目的は、ランサムウェアを検出するだけでなく、ファイルを暗号化させず完全に回避することも可能かが試験されました。
試験に参加した9つのセキュリティソフトのうち、5つの製品が完全に防御しました。PCMaticは、そのうちの1つで、試験に用いられた異なる10の攻撃シナリオ全てを完全防御しました。
本試験は、AV-TEST社が毎月試験を実施しているセキュリティベンダーおよび、興味を示しそうなセキュリティベンダーに対し、試験方法などを事前に提示し、参加者を募る方式で実施されました。
今回の試験は、昨今ウイルス以上に社会問題化しているランサムウェアに焦点を当て、ランサムウェア防御に自身をもつベンダーが任意参加する形で実施されました。昨今のランサムウェアは、ファイルレスと呼ばれパワーシェルスクリプトなどのスクリプト言語が外部からファイルをダウンロードすることなしに、端末内を暗号化して身代金を要求するメッセージを表示するなど巧みになっています。実行ファイルを利用せず、Windows標準搭載の内部コマンドを利用しているため、セキュリティソフトの振る舞い検知エンジンが検知しないことも多く、また検知しても複数のファイルが暗号化された段階で強制停止させるというものが多くありました。また、外部ファイルをダウンロードするタイプのランサムウェアでも、ダウンロードされた実行ファイルが軍事技術に起源を持つ難読化が実施されており、端末内のセキュリティエンジンで検知することが極めて困難になっています。
このため、今回の試験では検知するだけでなく、一切の暗号化など実害を出さない商品を調べるということに注力して実施されました。この試験は、毎月AV-TESTが実施しているウイルスとは別の検体による試験であり、ランサムウェアに注視した試験になります。
試験結果から、長期にランサムウェア感染をさせていない実績をもつPC Maticがトップスコアであったことに驚きはありませんが、Windows 10/11 homeに標準搭載されている「Microsoft defender」が最高スコアを獲得したことです。Windows 10/11 Pro版には更に強固なMicrosoft defender ATP (Microsoft Endpoint)が搭載されています。テレビの報道で「EMOTETが猛威を奮っています」と報道されていますが、Windows 10/11を利用している顧客はサードパーティ製エンドポイント保護(EPP)製品を搭載することで、そこがセキュリティホールになっている可能性すら本試験結果からは否定することができません。
PC MaticおよびMicrosoftは、もぐら叩き型のエンドポイント保護から次なるエンドポイント保護である「プロアクティブ方式」へエンドポイント保護の方式を進化させており、そうした新しい方式のエンジンが資金力が豊富な組織によって作られた新たな脅威へ対応できていることの現れてであると言えます。
リリース原文:【AV-TEST】9 Security Packages for Consumer Users in an Advanced Threat Protection Test against Ransomware
