2~3か月間隔で不定期に実施される任意試験「最新の標的型攻撃防御試験」にて、またもPC Maticのアプリケーション・ホワイトリスティング方式エンジンは、TOPスコアを獲得しました。情報スティーラーやランサムウェアの防御力に自信のある25のAVエンジンが試験に挑み、10のAVエンジンがトップスコアを獲得しました。
この評価では、特定の攻撃手法である「インライン実行アセンブリ」を行うランサムウェアを用いて試験が実施されました。簡単に言うと、本来は非常に無害なWindowsプロセスが.Netランタイム環境にて、悪用する手法です。マルウェアにてプロセスが特定され、マルウェアコードに感染しランサムウェアを起動します。さらに、マルウェア対策スキャンインターフェイス(AMSI)は、AMSIバイパス手法を使用し回避されます。AMSIはMicrosoftが提供するセキュリティ対策ソリューションが利用するファイルスキャンAPIです。さらに、Windowsに統合されているイベントトレースが無効になっているため、悪意あるプロセスルーチンをそれ以上トレースできません。これらすべての悪意ある攻撃が成功すると、マルウェアは自由に行動できるようになり、情報漏洩行為やファイル暗号化などを実施します。ただし、試験結果にあるように、優れたセキュリティソリューションであれば、データの吸い上げや暗号化などの悪意あるアクションを防ぐことができます。
今回の試験では、AV-TESTはスピアフィッシング電子メールを介して5つの情報スティーラーのサンプルと5つのランサムウェアのサンプルを試験システムに送信して実施しました。その後、マルウェアは最初にシステムに到達し、次のステップで有効になりました。これら2つのステップで、多くの製品が危険を検出し、攻撃回避に成功しています。そうでない場合、データ窃盗者は、C2サーバーに「流出」したデータに関する情報を収集できます。このランサムウェアは情報も収集しますが、その目的は、データの暗号化が開始されている間にファイルリストをC2サーバーに送信することです。10枚のシナリオグラフィックは攻撃ルーチンを示しています。ケース1~5はデータ窃盗者の攻撃について説明し、ケース6~10はランサムウェアの攻撃について説明します。
この試験で更にもう1つの特別な特徴は、AV-TESTが重大な攻撃ステップを検出することでポイントを加算する仕組みとしたことです。防御策が成功した場合、データ窃盗者ごとに最大4ポイント、ランサムウェアについては最大3ポイントが与えられることになります。したがって、このテストで可能な最高の保護スコアは35ポイントでした。
10のテストシナリオ
すべての攻撃シナリオは、MITREATT&CKデータベースの標準に従って文書化されます。個々のサブテクニック(たとえば、「T1566.001」)は、MITREデータベースの「フィッシング:スピアフィッシング添付ファイル」の「テクニック」にリストされています。このように、各テストステップは専門家の間で定義され、論理的に理解することができます。さらに、すべての攻撃手法とマルウェアの成功率も説明されています。
高度なテスト:消費者ユーザーの保護
Windows 11 での Advanced Threat Protection テストでは、コンシューマユーザー向けの合計10製品が対決しました。参加した製品は、AhnLab、Bitdefender、F-Secure、Kaspersky、Malwarebytes、McAfee、Microsoft、Microworld、Norton、PC Matic でした。
Microworldを除くすべてのセキュリティ製品プロバイダーは、完璧な結果を達成することができました。全てのシナリオは優秀なセキュリティソフトにて防御されました。結果としてシステムが危険にさらされることはありませんでした。各製品は、このパフォーマンスの保護スコアで35ポイントを獲得しました。
Microworldは、情報スティーラーとランサムウェアの各シナリオで、何も検出されないという問題を抱えていました。どちらの攻撃者も、データをそのまま収集、または暗号化しました。そのため、Microworldは1つのインスタンスでそれぞれ4ポイントと3ポイントを取り消されました。これにより、プロテクションスコアは合計28ポイントとなりました。
35ポイント中75%(つまり26.3ポイント)の保護スコアを達成した消費者ユーザー向けの各製品は、「Advanced Certified」証明書を受け取りました。このテストのすべての製品は証明書を受け取りました。
データ窃盗やランサムウェアを恐れる人はいない
現在のAdvanced Threat Protectionテストは、従来の検出テストをはるかに超えています。展開された攻撃手法「インライン実行アセンブリ」を使用して最新のデータ窃取者やランサムウェアのサンプルを常に把握することは、多くのセキュリティソリューションにとって困難な課題となります。だからこそ、最新の結果がさらに好ましいものとなり、調査した製品のほとんどがWindowsシステムのエラーのない防御を実現しました。消費者ユーザー向けの製品10個のうち9個と、企業ユーザー向けのソリューション15個のうち12個でした。
製品を提供する残りのメーカーは、失敗から学び、さらに良くなる必要があります。少なくとも、エラーのみが発生し、致命的な障害は発生しませんでした。
AV-TEST原文:Advanced Threat Protection against the latest Data Stealers and Ransomware Techniques (2023/07/12発表)
