サイバー攻撃者は、Windowsマシン上の認証情報を管理、保存するLSASSプロセスを悪用しドメインユーザーの認証情報を取得し、攻撃拡大や標的のネットワーク内で横展開することができます。 Kaspersky EDR Expertは、15種類全てのLSASS攻撃からの保護を達成しました。
[本リリースは、2022年9月9日にKasperskyが発表したプレスリリースに基づき作成したものです]
KasperskyのEDR製品「Kaspersky Endpoint Detection and Response Expert(Kaspersky EDR Expert)」は、独立系セキュリティ製品の評価機関であるAV-Comparatives(オーストリア)が実施したテストで、Windowsのローカル セキュリティ機関サブシステム サービス(LSASS)プロセスを悪用する攻撃からの100%の保護を達成しました。
AV-Comparatives は、認証情報を管理、保存するLSASSプロセスを保護し、情報のダンプを阻止するための四つのセキュリティ製品のハードニング能力を分析しました。サイバー攻撃者は、Windowsマシン上のLSASSを悪用し、ドメインユーザーの認証情報を取得することで、攻撃をそのマシンで拡大したり、標的のネットワーク内で横展開することができます。
対象のセキュリティ製品の機能を評価するために、AV-Comparativesのエンジニアは、Reflective DLL、Native APIs DLL、Invoke-PPL Dumpなどのさまざまなツールと手法を使用して、15種類の複雑な攻撃でテストインフラストラクチャへのアクセスを試みました。セキュリティ製品は、LSASSプロセスのメモリダンプを実行しようとする試みを防御することが期待されました。
このテストの結果、Kaspersky EDR Expertが既定で有効化された認証情報のダンプに対する効率的なハードニング手段を備えていることが確認され、15種類全てのLSASS攻撃手法から100%の保護を達成しました。
AV-ComparativesのCEO アンドレアス・クレメンティ(Andreas Clementi)氏は次のように述べています。「Kaspersky EDR Expertは既定の設定で、私たちの専門調査で使用したLSASSの認証情報をダンプする攻撃に対して100%の保護を実証しました」
Kasperskyの脅威リサーチ部門の責任者アレクサンダー・リスキン(Alexander Liskin)は次のように述べています。「AV-Comparativesによる調査に参加し、実環境で起こっているテストシナリオによるこの結果をうれしく思います。当社技術の品質を確認する上で、特定の攻撃に対するベンチマークテストは重要です。当社の目標は、お客様に対して最高レベルの保護機能を継続して提供することであり、その取り組みは、今回のような結果によって実証されるからです」
・テスト結果レポート全文は、AV-ComparativesのWebサイト(英語、9月8日付け)でご覧いただけます。
・Kaspersky EDR Expert の詳細については、当社のWebサイトでご覧いただけます。
