Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
エンドポイント検出・対応(EDR)ツールは、多くの企業のセキュリティ戦略の中核をなしています。しかし、攻撃者はこれらを「突破すべき壁」ではなく、「迂回すべき障害物」として扱う傾向が強まっています。2024年に米国の重要インフラ組織に対して実施されたレッドチーム評価において、CISAは、EDRソリューションが展開されたペイロードのうち「ごく一部しか検知できなかった」ことを明らかにし、攻撃者がすでに認識している事実を裏付けました。CrowdStrikeの「2026年グローバル脅威レポート」もこの問題を裏付けています。検知された事例の82%は マルウェアを含まず、従来のエンドポイント検知・対応(EDR)制御を完全に回避する、認証情報ベースの手法や「リビング・オフ・ザ・ランド(LOTL)」手法によって引き起こされていた。EDR回避はもはや国家主体の攻撃者にのみ備わる高度な能力ではない。これはアンダーグラウンド市場でわずか300ドルで入手可能な、コモディティ化したサービスとなっている。
EDR回避とは、攻撃者がエンドポイント検出・対応(EDR)ツールを回避、無効化、または迂回するために用いる一連の手法のことであり、これにより、これらのエージェントが悪意のある活動を検出したり、中央コンソールにテレメトリを送信したり、侵害されたエンドポイント上で自動対応アクションを起動したりすることを妨げます。
「EDR回避」と「EDRバイパス」という用語はしばしば同じ意味で使用されますが、両者には明確な違いがあります。EDR回避は、エンドポイントの検知を回避するあらゆる手法を広く指すのに対し、EDRバイパスは、攻撃者が予防メカニズムと検知メカニズムの両方を無効化したことを具体的に意味します。実際には、DFIRの専門家たちは、これらの手法がEDRエージェントのアーキテクチャとどのように相互作用するかという観点から、これらを「ブラインド(視覚的遮蔽)」、「ブロッキング(通信遮断)」、「ハイディング(隠蔽)」の3つのカテゴリーに分類する傾向が強まっています。
EDRエージェントは、根本的に制約された環境下で動作します。これらはソフトウェアフック、カーネルコールバック、テレメトリパイプラインに依存していますが、これらは攻撃者によって特定、操作、または無効化される可能性があります。DEF CON 32で発表された調査によると、分析対象となったEDRソリューションの94%が、NTDLLより上のサブシステム層にフックを持たないことが判明しており、これが体系的なアーキテクチャ上の欠陥を生み出しています。「CrowdStrike 2026 Global Threat Report」が、検知の82%が マルウェアを含まないものであると報告していることは、攻撃者が、EDRが検知するよう設計されていない手法——資格情報の窃取、正当なツールの悪用、通常の業務に溶け込むIDベースの攻撃——へと移行していることを示唆しています。
この問題は、サイバーキルチェーン全体にわたり深刻化します。侵入の初期段階で攻撃者がEDRエージェントを無効化したり、検知不能にしたりした場合、その後のすべての段階――横方向の移動、権限昇格、データの持ち出し――が、エンドポイントレベルの可視性がないまま進行することになります。
攻撃者は、EDRアーキテクチャにおける3つの基本的な攻撃対象領域、すなわちテレメトリ・パイプライン、エージェントプロセス自体、そしてエージェントが監視する対象を決定する実行コンテキストを標的としています。
ブラインド化技術は、EDRエージェントのプロセスを実際に終了させることなく、テレメトリデータの収集や送信を阻止します。EDRは動作しているように見えますが、中央コンソールへ送信されるデータは不完全であるか、あるいはまったく送信されません。
T1562.006 (インジケーターのブロック)ブロック手法は、EDRプロセスを直接終了させるか、その読み込みを阻止します。これらは最も攻撃的な回避手法であり、多くの場合、カーネルレベルへの権限昇格を必要とします。
T1562.009)隠蔽技術は、EDRエージェントが信頼するように設計されている、あるいは監視できない手法を用いて悪意のある動作を実行します。
EDR回避は、アンダーグラウンド市場における商用サービスとなっている。調査によると、ダークウェブのフォーラム(XSS、Exploit.In、RAMP)では、単体のEDR回避ツールが300ドルから販売されており、暗号化ロッカーがバンドルされたものは1万ドルに達することもある。こうした商品化が進んだことで、組織は高度なAPTグループだけでなく、あらゆる種類の脅威アクターによる回避攻撃に直面することになる。
図:3つの回避攻撃対象領域を持つEDRエージェントのアーキテクチャ。この図は、ユーザーモードフック、カーネルコールバック、およびEDRコンソールに情報を送信するETWパイプラインを示しており、ブラインディング(テレメトリの抑制)、ブロッキング(エージェントの終了)、およびハイディング(信頼されたコンテキストでの実行)に対する攻撃ベクトルがラベル付けされている。
EDR回避の手法には、カーネルレベルのドライバの悪用、ユーザーモードのフック操作、信頼済みバイナリの悪用、そして新たに台頭しているLinux特有の攻撃対象領域などが含まれる。
BYOVDは、署名付きではあるが脆弱性のあるカーネルドライバをロードし、カーネルレベルのアクセス権を取得して、EDRプロセスを終了させたり、カーネルコールバックの登録を解除したりします。この手法は、 T1068 (権限昇格のための悪用)および T1014 (ルートキット)。TrueSightドライバーを使用した単一のBYOVDキャンペーンが、 2,500種類のドライバーバリエーション 2024年半ばから2025年初頭にかけて。2026年2月、 Reynoldsランサムウェアは、脆弱性のあるNsecSoftドライバー(CVE-2025-68947)をランサムウェアのペイロード内に直接組み込んでいたこれにより、EDRを無効化するための別途の展開手順が不要になります。フォレンジック企業 Huntressは、EnCaseドライバーの同様の悪用について記録している EDRの終了のため。
EDRエージェントは、API呼び出しを傍受しプロセスの動作を監視するために、ユーザーモードDLL(主にntdll.dll)にフックを設置します。アンフック手法はこれらのフックを削除またはバイパスする一方、直接および間接のシステムコールは、監視対象のAPIレイヤーを完全に迂回します。 フックチェーン技法DEF CON 32で発表されたこの手法は、NTDLLの上位にあるサブシステム層を悪用し、テスト対象となった26のEDRソリューションすべてにおいて88%のバイパス成功率を達成しました。直接的なシステムコールは、カーネル関数を番号指定で直接呼び出すため、ユーザーモードのフックを完全に回避します。間接的なシステムコールは、正規のNTDLLコードを経由して呼び出すことで正常な動作に見せかけつつ、フックベースの検知を回避します。いずれも T1562.001 (ツールの無効化または変更)。
「Living off the land」攻撃は、EDRソリューションが動作を許可せざるを得ない正当なシステムバイナリ(PowerShell、WMI、certutil、mshta、regsvr32など)を悪用します。これらの手法は、 T1218 (システムバイナリのプロキシ実行)。バイナリにはデジタル署名が付与されており、システムの動作に不可欠であるため、EDRは、悪用を阻止することと正当な管理活動を許可することとの間で根本的なジレンマに直面しています。以下のようなツールは Cobalt Strike LOLBinの実行チェーンを活用し、侵害後の活動を通常のシステム動作に溶け込ませる。
ファイルレス マルウェア ディスクに書き込むことなく悪意のあるDLLをプロセスのメモリに直接読み込み、ファイルベースのスキャンを回避します。これは、 T1055 (プロセス注入)および T1574.002 (DLLのサイドローディング)。PDFSIDER マルウェア このキャンペーンでは、信頼されたPDFリーダーのプロセスを利用した高度なDLLサイドローディングが行われ、静的振る舞い と振る舞い の両方を回避していた。
EDR対策専用ツールは、複数の手法を組み合わせてEDRプロセスを強制終了させたり、検知不能にしたりします。EDRKillShifterはBYOVDを利用してエンドポイントセキュリティプロセスを強制終了させ、競合するランサムウェア攻撃グループの間で広く普及しています。EDR Silencerは、Windows Filtering Platform(T1562.006). EDR-Redirは、Windows 11のバインドフィルタードライバーを悪用するユーザーモードバイパスという新しい手法であり、カーネルへのアクセスを一切必要としません。
Linux EDRの回避策は、多くの競合他社が見落としている新たな脅威の領域です。RingReaperエージェントは、Linuxカーネル5.1で導入されたio_uringインターフェースを悪用し、従来のLinux EDRのシステムコールフックからは検知されない非同期I/O操作を通じて、プロセスの検出、ネットワークの列挙、および権限昇格を行います。ほとんどのLinux EDRソリューションはio_uringを監視していないため、サーバー環境において重大な検知の死角が生じています。
主要なEDR回避手法の分類の概要、MITRE ATT&CK 対応関係、および主な検知上の課題。
実際の事例からも、組織がネットワーク層の監視や適切なエンドポイント設定を怠ると、EDRの回避策によって壊滅的な情報漏洩が発生する可能性があることが確認されています。
ランサムウェアグループ「ALPHV/BlackCat」は、盗んだ認証情報を使用して、多要素認証が導入されていないリモートアクセスポータル経由でChange Healthcareのシステムに侵入しました。攻撃者はエンドポイントの防御機能を無効化し、9日間にわたって横方向への移動を行い、ランサムウェアを展開する前に6TBのデータを盗み出しました。 同社は2,200万ドルの身代金を支払い、1億人以上の個人の健康情報が漏洩した。この事件から得られる教訓は、MFA(多要素認証)やネットワーク層の監視を伴わないEDR(エンドポイント検出・対応)は、壊滅的な単一障害点を生み出すということである。
2026年2月、Reynoldsランサムウェアは、脆弱性のあるNsecSoft NSecKrnlドライバー(CVE-2025-68947)をランサムウェアのペイロード内に直接組み込みました。 この組み込まれたドライバは、Avast、CrowdStrike Falcon、Cortex XDR、Sophos、およびSymantecのプロセスを強制終了させる。攻撃前の独立したステップであったBYOVDから、ペイロードの組み込みコンポーネントへと進化したことで、検知の猶予期間は劇的に短縮された。
EDRがWindowsエンドポイント上でアキラの初期ペイロードを隔離した際、攻撃者は同じネットワーク上の監視対象外だったLinuxベースのウェブカメラへと攻撃の矛先を移しました。攻撃者はそのウェブカメラからSMB共有にマウントし、EDRエージェントでは保護できないデバイスからネットワークを暗号化しました。この事例は、IoTセキュリティとエージェントレスなデバイス監視が、あらゆるエンドポイント戦略において不可欠な要素である理由を如実に示しています。
CISAのレッドチームが重要インフラ組織を評価したところ、既知の悪意あるシグネチャを回避し、ファイルサイズをEDRのアップロード閾値を超えるように水増しすることで、EDRの検知を逃れることができた。同組織内のレガシー環境では、EDRの適用範囲が皆無であった。この評価の結果、ネットワーク層の保護策を講じずにホストベースのEDRに過度に依存していると、組織は執拗な攻撃者に対して無防備な状態になることが明らかになった。
CrowdStrikeの2026年のデータによると、電子犯罪の侵入から攻撃開始までの平均時間は現在29分となっており、初期アクセスから横方向の移動に至るまでの時間は、ほとんどのSOCが対応できる速度よりも急速に短縮している。
EDRの回避攻撃に対抗するには、ネットワーク検知、不在監視、エンドポイントの強化を組み合わせて、統合的な多層防御戦略を構築する必要があります。
ネットワークレベルでの検知(NDR)。 ネットワーク検知・対応(NDR)は、EDRエージェントが侵害された場合でも機能し続ける独立したテレメトリを提供します。ネットワークトラフィックは「切り離す」ことができません。つまり、エンドポイントエージェントを無効化または停止させた攻撃者であっても、横方向の移動、コマンド&コントロール通信、データの持ち出しの際には、依然として観測可能なネットワーク上の挙動を生み出します。CISAの勧告では、エンドポイント検知を補完するものとして、ネットワーク層での監視を具体的に推奨しています。
「通信停止に基づく監視」。悪意のある活動を検知するのではなく、エンドポイントがEDRコンソールへの報告を停止したタイミングを検知するものです。これは、EDR無効化ツールが導入されたことを示す有力な兆候です。脅威インテリジェンスのレポートでは、これがEDR改ざんを検知する最も信頼性の高い手法の一つであるとされています。
振る舞い および 脅威ハンティング。予防的な脅威検知は、回避の兆候を特定することに重点を置いています。具体的には、予期しないドライバのロードイベント、ETWテレメトリの欠落、異常なプロセスツリー構造、および正規のシステムバイナリの不審な使用などが挙げられます。これらの振る舞い 、シグネチャベースの検知が失敗した場合でも残存します。
「アキラ」のウェブカメラ事件は、重大な死角を浮き彫りにしています。EDRエージェントを実行できないデバイス(IoTデバイス、IPカメラ、OT機器、ネットワークアプライアンスなど)は、エンドポイントセキュリティを完全に迂回する侵入経路を生み出してしまうのです。Verizon DBIR 2025によると、侵害の侵入経路としてエッジデバイスとVPNが前年比で3%から22%へと急増しました。 組織は、ネットワークに接続されたすべてのデバイスを監査し、エージェントレスなデバイスがネットワークレベルの監視なしに機密リソースにアクセスできないようにする必要があります。IoTセキュリティソリューションとNDRは、エンドポイントエージェントが動作できない領域において可視性を提供します。
効果的なインシデント対応計画では、EDRのテレメトリデータが利用できない事態も想定し、その際の代替手段としてネットワークやIDデータソースを活用するプレイブックを用意しています。
EDR回避の検出は、直接 MITRE ATT&CK T1562 (防御能力の低下) — ザ 最も一般的な手法は マルウェア 2025年のマルウェアキャンペーンにおいて Picus Securityの年次分析によると。複数の セキュリティフレームワーク EDRの回避リスクに対処するための管理措置を義務付ける。
EDRの回避に関連MITRE ATT&CK 、および検知データソースと防御対策。
フレームワークのマッピング。NIST CSFのコントロールDE.CM-1(ネットワーク監視)、DE.CM-4(悪意のあるコードの検出)、およびPR.PT-1(監査/ログ記録)は、EDRの回避行為の検出要件に直接対応しています。CIS Controls v8は、コントロール10を通じてマッピングされています(マルウェア 防御)、コントロール8(監査ログ管理)、およびコントロール13(ネットワーク監視および防御)を通じて対応しています。ISO 27001:2022は、附属書A 8.7( マルウェア)および附属書A 8.16(監視活動)を通じてこれに対応しています。
業界の共通認識は明確です。EDRの回避攻撃に対して効果的に防御するには、エンドポイントエージェントが侵害された場合でも機能し続ける独立した検知レイヤーが必要です。つまり、EDRとネットワーク検知・対応(NDR)、ID脅威検知・対応(ITDR)、およびエージェントレス監視を統合し、多層防御の統一アーキテクチャを構築する必要があるということです。
NDRは、エンドポイントレベルの攻撃によって無効化されることのないネットワーク層の可視性を提供します。ITDRは、全攻撃の82%を占める認証情報の悪用やIDを標的とした攻撃を検知します。 マルウェアを伴わない侵入の82%を占める、認証情報の悪用やIDを悪用した攻撃を検知します。自動化された対応機能により、横方向の移動が完了する前に脅威を封じ込めます。これは、eCrimeの侵入から検知までの時間が平均29分であることを考えると極めて重要です。シグナルの統合を通じてSOCの運用を改善することで、真の回避指標への対応を遅らせるアラート疲労を軽減します。
Vectra AIは、巧妙な攻撃者はエンドポイント制御を突破するという前提、つまり「侵害を前提とする」哲学に基づいて動作します。攻撃シグナルインテリジェンスは、ネットワーク、ID、クラウドのテレメトリを分析し、EDRでは検知できない攻撃者の行動(エンドポイントエージェントが侵害されているか、機能停止しているか、存在しないかに関わらず継続する横方向の移動、権限昇格、コマンド&コントロール活動など)を検出します。アラートの量よりもシグナルの明確さを重視し、SOCチームがマルウェアとは無関係な82%の活動によるノイズを追いかけるのではなく、真の脅威を調査できるようにします。
EDR回避の手法は急速に変化しており、今後12~24カ月の間に、攻撃手法と防御戦略の両方を一変させるような動きがいくつか見られると予想されます。
AIを活用した検知回避の手法は加速するだろう。攻撃者はすでにAIを活用し、ペイロードの生成、ポリモーフィックコードの作成、および振る舞い 自動化している。具体的な有効性に関する主張の信頼性はまちまちだが、一般的な傾向は十分に立証されている。すなわち、AIによってカスタム検知回避手法を作成するための技術的ハードルが低下し、防御側には、それと同等のスピードで適応するAI駆動型の検知システムを導入するよう圧力が掛かっている。
Linuxおよびクラウドネイティブ環境における検知回避の手法はさらに拡大するだろう。RingReaperによるio_uringの悪用は、Linuxサーバー環境やクラウドインフラストラクチャを標的とする傾向が広まっていることを示唆している。組織がコンテナやKubernetesへより多くのワークロードを移行するにつれ、攻撃者は、従来のEDR導入モデルが適用できない可能性のあるこうした環境に合わせて、検知回避の手法を適応させていくだろう。
規制の圧力は高まる見込みです。欧州におけるNIS2の施行や、米国証券取引委員会(SEC)によるサイバーセキュリティ開示規則の改定案により、特定のエンドポイント保護基準や多層防御の要件が義務付けられる可能性があります。EDRのみに依存している組織は、ネットワーク層の監視や不在ベースの検知機能を求める枠組みが増加するにつれ、コンプライアンス上のギャップに直面することになるでしょう。
「Evasion-as-a-service」は成熟していくでしょう。EDR回避ツールの闇市場はさらに専門化が進み、サブスクリプションモデル、回避期間の保証、返金保証などが標準となっていくでしょう。セキュリティ責任者は、この市場の成熟度を脅威モデルに織り込み、多層的な検知対策への投資予算を適切に計上する必要があります。
組織は、既存のEDRへの投資と並行してNDRの導入を優先し、エンドポイントのテレメトリにおけるデータ欠落を検知するための監視体制を構築するとともに、EDRの回避シナリオを具体的に検証する攻撃者シミュレーション演習を定期的に実施すべきである。
EDR回避技術は、かつては国家レベルの高度な能力であったものが、今ではわずか数百ドルで入手可能な汎用サービスへと変貌を遂げました。その手法は広く公開されており、ツールは犯罪者コミュニティ内で広く共有されています。また、エンドポイントのみを対象とした検知手法のアーキテクチャ上の限界については、CISAのレッドチーム評価や学術研究によって公に実証されています。
今後の道筋は、EDRを放棄することではありません。EDRは、多層防御アーキテクチャの一層として機能するときに最も効果を発揮するという点を認識することです。ネットワーク検知は、エンドポイントが侵害された場合でも維持される独自の可視性を提供します。アイデンティティ監視は、 マルウェアを使用しない侵入の82%を捕捉します。不在ベースのテレメトリは、EDR自体が標的となった場合を検知します。8段階の強化チェックリストを実施し、エンドポイント検出と並行してNDRを導入し、定期的な攻撃者シミュレーションを通じて防御体制を検証する組織は、EDRの回避攻撃が利用する脆弱性を解消できるでしょう。
Vectra AI 、ネットワークおよびIDの検知機能によってEDRのカバー範囲をどのようにVectra AI をご覧ください。
EDR回避とは、攻撃者がエンドポイント検出・対応(EDR)ツールを回避、無効化、または迂回するために用いる手法を指します。これらの手法により、EDRエージェントが悪意のある活動を検出したり、テレメトリを送信したり、自動対応をトリガーしたりすることが妨げられます。 現代のEDR回避は、ブラインディング(エージェントを終了させずにテレメトリを抑制すること)、ブロッキング(EDRプロセスを直接無効化または終了させること)、およびハイディング(EDRが監視しているが許可せざるを得ない信頼されたコンテキスト内で実行すること)の3つのカテゴリーに分類されます。 EDR回避はますます汎用化しており、アンダーグラウンド市場ではわずか300ドルで入手可能なツールも存在するため、国家支援グループ以外の幅広い脅威アクターも利用できるようになっています。CISAのレッドチームによる調査結果によると、熟練した攻撃者を想定したテストにおいて、EDRソリューションが検出したペイロードは「ごくわずか」にとどまり、エンドポイント検知だけでは十分な防御範囲を確保できないことが確認されています。
攻撃者は、アーキテクチャの異なるレイヤーを標的とする複数の手法群を用いてEDRを回避します。カーネルレベルでは、BYOVDが署名付きの脆弱なドライバをロードし、EDRプロセスを終了させたり、カーネルコールバックの登録を解除したりします。ユーザーモードレベルでは、アンフックやシステムコール(syscall)の手法を用いて、EDRエージェントが依存するAPI監視フックを迂回します。 「リビング・オフ・ザ・ランド(LOTL)」の手法は、EDRがブロックできない正当なシステムバイナリを悪用します。EDRKillShifterのようなEDRキラーツールは、カーネルアクセスにBYOVDを使用し、その後エンドポイントセキュリティプロセスを体系的に終了させるなど、複数のアプローチを組み合わせています。 さらに最近では、攻撃者は監視対象外のデバイス(Akiraウェブカメラ事件のように)に標的を移したり、ほとんどのEDRソリューションが監視していないio_uringのようなLinux固有のインターフェースを悪用したりしています。重要な点は、攻撃者が単一の手法のみを使用することは稀だということです。彼らは、検知されずに活動できる確率を最大化するために、複数の回避手法を連鎖させています。
BYOVD(Bring Your Own Vulnerable Driver:脆弱なドライバーを持ち込む)とは、攻撃者が正規に署名されたものの脆弱性を含むカーネルドライバーを標的システムに読み込ませる攻撃手法です。このドライバーには有効なデジタル署名が付与されているため、Windowsはカーネルレベルの権限でその実行を許可します。その後、攻撃者は読み込まれたドライバーの脆弱性を悪用してカーネルへのアクセス権を取得し、EDRプロセスの終了、カーネルコールバックの登録解除、セキュリティ制御の操作を行うことが可能になります。 2024年半ばから2025年初頭にかけて、TrueSightドライバーを標的とした単一のBYOVDキャンペーンにおいて、2,500種類以上のドライバーの亜種が使用されました。2026年2月のReynoldsランサムウェアは、この手法をさらに進化させ、脆弱性のあるドライバーをランサムウェアのペイロード内に直接埋め込むことで、別途の展開手順を不要にし、検知までの時間を大幅に短縮しました。
ランサムウェアグループは、特定の標的に合わせて調整された複数の手法を組み合わせて、EDRを回避しています。ALPHV/BlackCatは、盗んだ認証情報を使用してChange Healthcareのエンドポイント防御機能を無効化し、9日間にわたる横方向の移動を可能にしました。その結果、2,200万ドルの身代金が要求され、1億件の記録が侵害されました。 Reynoldsランサムウェアは、ペイロードにBYOVDドライバーを直接埋め込み、実行時にAvast、CrowdStrike Falcon、Cortex XDR、Sophos、Symantecを自動的に終了させます。RansomHubのEDRKillShifterツールはBYOVDを使用してEDRを終了させ、Play、Medusa、BianLianという少なくとも3つのライバルグループと共有されています。 Akiraは、WindowsエンドポイントでEDRが初期ペイロードをブロックした際、監視されていないLinuxウェブカメラに切り替えてネットワークを暗号化するという独創的な手法を披露した。これらの事例は、エンドポイント検知がランサムウェア展開の主要な障壁であるため、ランサムウェアのオペレーターがEDR回避に多大なリソースを投じていることを示している。
EDRの回避を検知するには、エンドポイント以外の領域にも目を向ける必要があります。ネットワーク検知・対応(NDR)は、EDRエージェントが侵害された場合でも継続して収集される独立したテレメトリを提供します。エンドポイントエージェントを無効化または終了させた攻撃者であっても、横方向の移動やデータ流出の際には、依然として観測可能なネットワークトラフィックを生成します。不在ベースのモニタリングは、エンドポイントがEDRコンソールへの報告を停止したことを検知します。これは、EDRを無効化する活動の有力な兆候となります。振る舞い 、異常なドライバ読み込みイベント、ETWテレメトリの欠落、異常なプロセスツリー、および不審なシステムバイナリの使用に焦点を当てます。組織は、既知の脆弱性を持つドライバと一致するドライバ読み込みイベント、特定のエンドポイントからのEDRテレメトリの突然の欠落、最近通信が途絶えたエンドポイントからの予期せぬネットワーク接続、およびフックの解除やシステムコールの悪用と一致するプロセス動作パターンを監視する必要があります。これらの検出手法を組み合わせることで、単一の回避手法では突破できない、重複した可視性が得られます。
防御回避は、MITRE ATT&CK 戦術TA0005に該当し、攻撃者が侵入の全過程において検知を回避するために用いる手法を網羅しています。この戦術の中で、T1562(防御機能の無効化)は、EDR回避に最も直接的に関連する手法群です。 サブテクニックには、T1562.001(ツールの無効化または変更)、T1562.002(Windows イベントログの無効化)、T1562.006(インジケーターのブロック)、および T1562.009(セーフモードでの起動)が含まれます。 Picus Securityの年次分析によると、T1562は マルウェア キャンペーンにおいて最も多用された手法でした。セキュリティチームは、これらのATT&CKマッピングを検知エンジニアリングに活用しています。つまり、個々の マルウェア のシグネチャではなく、特定のテクニックの挙動をターゲットとした検知ルールを構築する「検知エンジニアリング」に活用しており、これにより、進化し続ける回避ツールに対してより持続的な防御範囲を提供しています。
ネットワーク検知・対応(NDR)は、エンドポイントエージェントとは独立して動作するため、EDRの回避を検知する上で極めて重要な役割を果たします。攻撃者がEDRエージェントを無効化、終了、または回避させた場合でも、ネットワークトラフィックは引き続き流れます。NDRは、このトラフィックを監視し、EDRではもはや報告できなくなった侵害の兆候(ホスト間の横方向の移動、コマンド&コントロール通信、認証情報の悪用パターン、データの持ち出しなど)を検知します。 CISAは、重要インフラに関する勧告において、エンドポイント検知を補完するものとして、特にネットワーク層の監視を推奨しています。EDRとNDRを組み合わせることで、ある層が侵害されても可視性が失われない検知アーキテクチャが構築されます。たとえ攻撃者が環境内のすべてのEDRエージェントを回避することに成功したとしても、そのネットワーク上の行動は引き続き観測可能です。これは、エンドポイントエージェントをまったく実行できないエージェントレスデバイス(IoT、OT機器、ネットワークアプライアンスなど)にとって特に重要です。
HookChainは、学術研究で報告され、DEF CON 32でも発表された高度なEDRバイパス手法です。これは、NTDLLの上位にあるサブシステム層を悪用するもので、分析対象となったEDRソリューションの94%がこの層に監視フックを設置していません。HookChainはこのアーキテクチャ上の死角を突くことで、テスト対象となった26のEDR製品および5つのエンドポイント保護プラットフォームにおいて、88%のバイパス成功率を達成しました。 この手法は、現在のEDRアーキテクチャにおける根本的な設計上の限界を浮き彫りにしています。ベンダーはNTDLLおよびカーネルレベルに監視フックを集中させている一方で、上位のサブシステム層は保護されていないままにしているのです。HookChainはカーネルへのアクセスや管理者権限を必要としないため、より幅広い攻撃者が利用可能です。この研究は、ユーザーモードのフックベースの検知のみに依存することが不十分である理由、および補完的な検知層(ネットワーク、ID、振る舞い)が不可欠である理由を強調しています。
セーフモードでの再起動は、ターゲットシステムをWindowsのセーフモードで再起動させることでEDRを回避します。セーフモードでは、必須のドライバーとサービスのみが読み込まれます。ほとんどのEDRエージェントはセーフモードで起動するように設定されていないため、システムはエンドポイント保護が有効でない状態で起動します。SnatchやAvosLockerなどのランサムウェアファミリーは、この手法を悪用して、EDRの干渉を受けずにファイルを暗号化しています。 攻撃者は通常、初期アクセスを獲得した後、システムがセーフモードで起動するように設定し、マシンを再起動して、保護されていない環境でランサムウェアのペイロードを実行します。この手法は、MITRE ATT&CK .009に該当します。これに対抗するには、EDRエージェントがセーフモードでも動作し続けるよう設定し、予期しない起動設定の変更を監視するとともに、起動状態にかかわらずネットワークレベルの検知がエンドポイントを確実にカバーするようにする必要があります。
EDRの改ざんとは、エンドポイント検知・対応(EDR)エージェントの機能を変更、低下、または無効化するあらゆる手法を包括する広義の用語である。 これには、EDRプロセスの終了、メモリ内の監視フックのパッチ適用、テレメトリ送信のブロック、設定ファイルの改変、カーネルコールバックの登録解除、およびカーネルアクセスを得るための脆弱なドライバーの悪用などが含まれます。EDRの改ざんは、MITRE ATT&CK .001(ツールの無効化または改変)の実践的な実装です。 最新のEDRソリューションのほとんどには、エージェントの不正な改変を防ぐ改ざん防止機能が搭載されていますが、これらの保護機能は適切に設定され、検証されなければなりません。ローカル管理者によって無効化可能な改ざん防止機能は、すでに権限昇格を達成している攻撃者に対しては限定的な価値しか持ちません。攻撃者の行動をシミュレートした定期的な検証を行うことで、改ざん防止機能が意図した通りに機能していることを確認できます。