新入社員がランサムウェア攻撃をEDR目線で追ってみた!検知から対応支援までの流れとは?~新入社員のセキュリティ備忘録 #08~
投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 井上
こんにちは!2年目社員の井上です。
本ブログは、私が学習した情報セキュリティについてのあれこれを備忘録として残していくシリーズ「新入社員のセキュリティ備忘録」第8弾になります。今回も、学習した内容を新入社員目線でまとめていきます。
前回までの備忘録では、EDR(Endpoint Detection and Response)について学んできました。
#05では、EDRとは何か、アンチウイルスとは何が違うのかを整理し、#06では、EDRが端末上のどのような挙動を見てアラートを発報するのかを見てきました。さらに#07では、EDRアラート発報後の運用として、SOCサービスとNI+Cセキュリティ支援サービスの違いについて整理しました。
↓↓↓ まだ#05~#07を読んでいない方は、今回の記事とあわせてチェックしてみてください! ↓↓↓
【新入社員がEDRを調べてみた!アンチウイルスと何が違うの?~新入社員のセキュリティ備忘録 #05~】
URL:https://www.niandc.co.jp/tech/20260401_72483/
【新入社員がEDRの動きを追ってみた!アラートは何を見ているの?~新入社員のセキュリティ備忘録 #06~】
URL:https://www.niandc.co.jp/tech/20260430_73233/
【新入社員がEDR運用を調べてみた!SOCと比べたNI+Cセキュリティ支援サービスの強みに迫る!~新入社員のセキュリティ備忘録 #07~】
URL:https://www.niandc.co.jp/tech/20260529_74057/
今回は、EDR編のまとめとして、架空の攻撃シナリオ 「不審なメールから始まるランサムウェア攻撃」 を取り上げ、攻撃の流れをEDR目線で追ってみたいと思います。
ランサムウェア攻撃では、不審なメールをきっかけに悪意のあるプログラムが実行され、外部通信や情報収集、ファイルの暗号化など、端末上でさまざまな「不審な挙動」が発生します。では、EDRはその中のどこで異常に気づき、どのようなアラートを発報するのでしょうか。
また、アラートが発報された後には、内容の確認や影響範囲の調査、対応方針の検討など、実際の対応につなげるための判断も必要になります。今回は、NI+Cセキュリティ支援サービスによる対応支援の流れもあわせて整理していきます。
今回もどうぞよろしくお願いします!
目次
1.EDRとNI+Cセキュリティ支援サービスの機能を振り返ってみた
3.おわりに
1.EDRとNI+Cセキュリティ支援サービスの機能を振り返ってみた
まずは、前回までに学んできた 「EDR」と「NI+Cセキュリティ支援サービス」の役割について、簡単に振り返ってみたいと思います。
- EDRとは
EDRとは、Endpoint Detection and Response の略で、PCやサーバなどのエンドポイント上で発生する挙動を監視し、不審な動きを検知して対応につなげるための仕組みです。
EDRは、端末上で発生するプロセスの実行、コマンド、ファイル操作、通信などを確認し、攻撃につながりそうな動きがあった場合にアラートを発報します。
つまりEDRは、端末上で「何が起きているのか」を見て、不審な挙動に気づくための仕組みだと言えます。 - アンチウイルス(AV)との違い
アンチウイルスは、主に既知のマルウェアを検知・ブロックすることが得意な仕組みです。
一方でEDRは、ファイルそのものだけでなく、端末上で発生する一連の挙動を見て、不審な動きを検知します。
たとえば、悪意のあるファイルが実行された後に、不審なコマンドが動いたり、外部通信が発生したり、大量のファイルが変更されたりする流れを見て、EDRは攻撃の可能性に気づくことができます。
上記の違いを簡単にまとめると、以下のようになります。
| 項目 | アンチウイルス | EDR |
| 主な役割 | 既知のマルウェアを防ぐ | 不審な挙動を検知し、対応につなげる |
| 見るポイント | ファイルの特徴 | プロセス、コマンド、通信、ファイル操作 |
| 得意なこと | 既知の脅威を防ぐ | 侵入後の不審な動きの検知 |
- EDRの検知と対応とは
EDRの名前に含まれる Detection and Response は、「検知」と「対応」を意味します。
「検知」は、端末上の不審な挙動を見つけてアラートを発報することです。たとえば、不審なプログラムの実行、PowerShellなどの不自然な利用、外部通信、大量のファイル変更などが検知のきっかけになります。
「対応」は、検知したアラートをもとに、被害を広げないためのアクションを行うことです。たとえば、端末の隔離、不審なプロセスの停止などが考えられます。
ただし、EDRがアラートを出してくれても、その内容を正しく読み解き、適切な対応を判断するには専門的な知識が必要になります。そこで登場するのが、SOCサービスでしたね! - SOCサービスとは
SOCとは、Security Operation Center の略で、EDRなどのセキュリティ製品から発生するアラートやログを監視・分析し、「リスクの可能性を関係者へ知らせる仕組み」です。
簡単に言うと、SOCサービスは、セキュリティ製品が出したアラートを確認し、
「この端末で不審な動きがありました」
「このアラートは注意したほうがよさそうです」
といった“気づき”を届けてくれる役割を持っています。
一方で、一般的なSOCサービスは、アラートの監視・一次分析・通知が中心となることが多く、その後の詳細な調査や対応支援まで含まれるとは限りません。 - NI+Cセキュリティ支援サービスとは
NI+Cセキュリティ支援サービスは、IR(Incident Response:インシデントレスポンス)を主軸に、アラート発生後の対応を技術面から支援するサービスです。
ちなみにIRは、セキュリティインシデントが発生した、または発生している可能性がある場合に、事象を調査し、被害を抑え、復旧や再発防止につなげる一連の対応のことでしたね。
EDRがアラートを発報し、SOCサービスがその内容を知らせてくれたとしても、その後には「本当に危険な事象なのか」「影響範囲はどこまで広がっているのか」「どのように対応すべきなのか」をユーザ自身で判断する必要があります。それってとっても難しいことですよね…。
そこで、「NI+Cセキュリティ支援サービス」の出番です。
一般的なSOCサービスが、主にアラートを監視・分析してリスクの可能性を通知する役割であるのに対し、NI+Cセキュリティ支援サービスは、その後の調査や判断、対応までを技術面から支援する点に特徴があります。
具体的には、アラート内容の確認、事象の把握、被疑端末の状況確認、端末利用者への確認、影響範囲の確認、暫定対処や過検知抑制などを支援します。
つまり、NI+Cセキュリティ支援サービスは、EDRのアラートを「検知して終わり」にせず、実際の対応につなげるための支援を行うサービスだと言えます。
…ここまで、EDR、SOCサービス、そしてNI+Cセキュリティ支援サービスの役割を簡単に振り返ってきました。
では、実際の攻撃では、端末上でどのような不審な挙動が発生し、EDRはどこでアラートを発報するのでしょうか。また、そのアラートに対して、どのような対応支援が必要になるのでしょうか。
次章では、架空のシナリオである、「不審なメールから始まるランサムウェア攻撃」を例に、攻撃の流れをEDR目線で追いながら、検知から対応支援までの流れを整理していきます。
2.攻撃シナリオ:不審なメールから始まるランサムウェア攻撃
ここからは、架空の攻撃シナリオをもとに、EDRがどのように不審な挙動を検知し、その後どのように対応支援につながっていくのかを見ていきます。
今回取り上げるのは、不審なメールをきっかけにランサムウェア感染につながるケースです。
ランサムウェアとは、PCやサーバ内のファイルを暗号化し、元に戻すことと引き換えに金銭を要求するマルウェアの一種です。近年では、ファイルを暗号化するだけでなく、情報を窃取したうえで「公開されたくなければ支払うように」と脅迫するケースもあります。
ニュースなどでもよく耳にする攻撃ですが、実際に攻撃の流れを整理してみると、いきなりファイルが暗号化されるわけではなく、その前にさまざまな不審な挙動が発生していることが分かります。
・・・たとえば、以下のような流れです。
***
まず、攻撃者は業務メールのような正規のメールを装って、不審なメールを送信します。
メール本文には、「請求書をご確認ください」「至急、添付ファイルをご確認ください」といった、業務上ありそうな内容が書かれており、添付ファイルやURLリンクを開くように誘導します。
受信したユーザがそのメールを不審だと気づかず、添付ファイルやリンクを開いてしまうと、端末上で悪意のあるプログラムが実行される可能性があります。
その後、悪意のあるプログラムは、外部のサーバと通信したり、端末内の情報を確認したりしながら、攻撃を進めていきます。場合によっては、追加のプログラムを取得したり、端末内や共有フォルダ内のファイルを探したりすることもあります。
そして攻撃が進行すると、ランサムウェアによってファイルの暗号化が始まります。短時間で大量のファイルが変更されたり、拡張子が変わったり、身代金要求文のようなファイルが作成されたりすることで、ユーザが異常に気づくことになります。考えるだけで恐ろしいですね・・・。
攻撃の流れを簡単に整理すると、以下のようになります。

さて、このように、ランサムウェア攻撃では、暗号化が始まる前にも、端末上ではさまざまな動きが発生しています。
では、EDRはこの流れの中で、何に気づくことができるのでしょうか。
***
EDRは、端末上で発生するプロセスの実行、コマンド、ファイル操作、通信などをログとして収集・監視しています。そのため、ランサムウェア攻撃の流れの中でも、いくつかのタイミングで不審な挙動に気づくことができます。
たとえば、文書ファイルを開いたことをきっかけに、通常ではあまり見られないプロセスが起動した場合、EDRはその親子関係や実行されたコマンドを確認します。
また、普段通信しない外部サーバへの接続が発生した場合や、不審なプログラムが端末情報を確認するような動きをした場合も、EDRの検知対象になることがあります。
さらに、ランサムウェア攻撃で特徴的なのが、短時間で大量のファイルが変更される挙動です。大量のファイル操作や、暗号化につながるような動きが確認された場合、EDRは重大なアラートとして検知することがあります。
先ほどの攻撃の流れにEDRの検知ポイントを当てはめると、以下、緑色の矢印のようなイメージです。

ここで重要なのは、EDRはランサムウェアによる暗号化だけを見ているわけではないという点です。攻撃の途中で発生する不審なプロセス、コマンド、通信、ファイル操作などを見ながら、攻撃の兆候を検知します。
そのため、暗号化が始まる前の段階でアラートが発報されることもありますし、暗号化の挙動をきっかけに重大なアラートとして検知されることもあります。
ただし、EDRがアラートを発報したとしても、そこで対応が完了するわけではありません。
アラートが発報された後には、
「本当にランサムウェア攻撃なのか」
「どの端末で何が起きたのか」
「影響範囲はどこまで広がっているのか」
「すぐに隔離すべきなのか」
といった、「具体的にどう対応すればよいのか」というような判断が必要になります。
ここで重要になるのが、NI+Cセキュリティ支援サービスによる対応支援です。
***
EDRからランサムウェアの疑いがあるアラートが発報された場合、まずはアラート内容を確認し、何が起きているのかを整理する必要があります。
たとえば、次のような観点を確認します。
・どの端末でアラートが発生したのか
・どのユーザが利用していたのか
・どのプロセスが起点になっているのか
・どのようなコマンドやファイル操作が行われたのか
・外部通信が発生しているのか
・ほかの端末にも同じようなアラートが出ていないか
・ファイル暗号化が始まっているのか
これらを確認することで、アラートが示している内容を整理し、対応の優先度や方針を考えていきます。
NI+Cセキュリティ支援サービスでは、EDRなどから発報されたアラートをもとに、事象の把握や対応方針の検討を技術面から支援します。具体的には、被疑端末の状況確認、端末利用者への確認、影響範囲の確認、必要に応じた暫定対処、過検知抑制などの対応を支援します。
ランサムウェア攻撃の場合、対応が遅れるとファイル暗号化が広がったり、共有フォルダなどに影響が及んだりする可能性があります。
そのため、EDRのアラートをもとに、できるだけ早く状況を把握し、被害拡大を防ぐための対応につなげることが重要です。
攻撃シナリオに対して、EDRの検知とNI+Cセキュリティ支援サービスの対応支援を当てはめると、以下、黄色の矢印のようなイメージになります。
なお、実際にはそのアラートによる影響範囲を考慮し、影響範囲が大きいものと考えられる場合には対応の順番が前後することも考えられます。例えば、影響範囲の拡大を止めることを最優先と考える場合には、先に端末の隔離を実施し、その後に詳細な解析を実施する…といったこともあります。

このような「アラートに気づいた後」の技術的な悩みに寄り添い、セキュリティ担当者が対応を進めやすくなるような対応支援をおこなってくれるのが、「NI+Cセキュリティ支援サービス」ということですね!
以上が、攻撃シナリオをもとにしたEDRの検知の流れや、NI+Cセキュリティ支援サービスの対応支援の流れになります。
***
こうして見ると、EDRは攻撃の兆候に気づくための仕組みであり、NI+Cセキュリティ支援サービスは、そのアラートを実際の対応につなげるための支援を行う仕組みだと分かります。
ランサムウェア攻撃のように、被害が短時間で広がる可能性がある攻撃では、「検知した後にどれだけ早く状況を把握し、対応に移れるか」がとても重要です。
EDRによって不審な挙動を検知し、NI+Cセキュリティ支援サービスによって調査・判断・対応を支援することで、「アラートが出たけれど、何をすればよいか分からない」という状態を避け、実際の被害抑制につなげやすくなるのだと感じました!
3.おわりに
今回の備忘録 #08 では、不審なメールを起点としたランサムウェア攻撃シナリオを例にしながら、EDRが「どの場面で不審な挙動に気づくのか」、そしてNI+Cセキュリティ支援サービスが「検知後の対応をどのように支援するのか」を整理してみました。EDRはファイルの暗号化だけを見ているのではなく、その前段階で発生するさまざまな挙動をもとに攻撃の兆候を検知できることが分かりました。
一方で、EDRのアラートの内容を読み解き、「本当に危険なのか」「どこまで影響があるのか」「どのように対応すべきなのか」を判断し、被害拡大を防ぐための行動につなげることが重要です。
その点、NI+Cセキュリティ支援サービスは、IRを主軸に、EDRなどから発報されたアラートの確認、事象の把握、被疑端末の状況確認、影響範囲の確認、暫定対処などを技術面から支援するサービスです。
今回の内容を通して、EDRは「不審な挙動に気づく仕組み」、NI+Cセキュリティ支援サービスは「その気づきを実際の対応につなげる仕組み」なのだと整理できました。
ここまでで、ひとまず備忘録の「EDR編」は一区切りにします。次回以降も、学んだことを新入社員目線で分かりやすく整理していきたいと思います。
また、EDRやNI+Cセキュリティ支援サービスに興味を持たれた方は、以下のリンクからお気軽にお問い合わせください。
ここまで読んでいただきありがとうございました!