WithSecure™ Elements Endpoint Protection for Servers には、Server Share Protectionという斬新なランサムウェア保護機能が搭載されています。この機能は、Activity Monitorと名付けられた技術で、悪意のある可能性のある活動をリアルタイムに監視します。そして、セッションが展開され脅威であることが確認されると、最後の操作をブロックし、追跡されたすべての変更をロールバックして、環境を攻撃される前の状態に戻すことができます。

ウィズセキュアのエンドポイント保護製品に搭載されているホスト型侵入防止システム（HIPS）のエンジンであるDeepGuardは、システム変更を行おうとするアプリケーションを監視、検出する機能で、危険なアプリケーションの検出とブロックを行います。これにより、不審なアプリケーションからによる個人データの削除、改ざん、または盗難から保護することができます。この機能が、まれに誤検出を招く場合が有り、ユーザーを苛立たせる遅延につながります。たとえば、アプリケーションの標準的なアップデートなどは、リモートサーバーから、これまでにないほど多くのコードをダウンロードして実行しようとするため不審に思われ、ブロックされるかもしれません。そうなるとユーザーが苛立つのは当然のことですが、だからといってプロセスの後半でブロックすれば、本物の悪意のあるコードを実行させるリスクを冒すことになります。 

Server Share Protectionは、この問題、特にランサムウェア攻撃に対して実にうまく対処します。つまり、新機能 Activity Monitor は、監視を開始した後に起こった変更を無かったことにできるため、最初から疑わしい活動をブロックする必要はありません。これにより誤検知が大幅に減少し、ユーザーの混乱も収まります。 

この保護機能がランサムウェアに的を絞った理由は、一般的にランサムウェアはファイルを盗むのではなく、暗号化することを目的にしているからです。コンピュータ上でランサムウェアが動作し始めると、システムが自動的にセッションの監視を開始します。すなわち、すべてのアクティビティがリアルタイムに追跡されることになります。悪意のあるコードが、ひとつプロセスを起動し、そのプロセスが別のプロセスを起動してシステムのさまざまな領域に広がっていくと、そのセッションのすべてのステップが監視され、定期的に関連ファイルの一時バックアップが作成されます。

仮にファイルが暗号化されたとしても、セッション中に行われた改ざんを簡単にロールバックするため、通常のアクセスを回復することができます。ただし、情報を盗むように設計されたマルウェアに対してはうまく機能しません。ソフトウェアが改ざんされた内容を元に戻すことはできても、同じセッション中にコピーされ消された情報を戻すことはできないからです。 

多くのエンドポイント保護ソリューションは、Microsoft Windows が提供するシャドウコピー機能を使用しています。ランサムウェアなどのマルウェアは、この機能をあえて無効にしようとするケースが多いことから、シャドウコピーのバックアップが使用できなくなることがわかっています。そこでウィズセキュアは独自の斬新なアプローチを採用し、必要なものだけを必要な期間だけバックアップするようにしました。 

ウィズセキュアの主任研究員であるBroderick Aquilino (ブロデリック・アキリーノ)は、この新技術のアイデアを生み出し、開発した経緯を次のように説明しています。

「バックエンドで使用されているサンドボックスのアプローチをそのままエンドポイントに適用しようと考えました。サンドボックスは、テストされていないコードを隔離して実行することで、環境を危険にさらすことなく、疑わしいコードの振る舞いを把握することができます。ただし、この処理は時間がかかるため、ユーザーにとって遅延が問題になるために、エンドポイントには適さないのです。ユーザーは、ファイルを実行してから結果が得られるまで数分間も待たねばなりません。

そこで私たちは、サンドボックスをエンドポイント上に構築しようと試みました。ユーザーエクスペリエンスの悪さに対処するため、実際にシステム上で実行させ、ファイルを暗号化させるようにしました。次に思いついたのがロールバック機能でした。ファイルが暗号化されたことを確認すると、ユーザーの介入なしに自動的にロールバックし、実行されたファイルを削除します」

Server Share Protection はバックグラウンドで自動的に動作します。管理者がElements EPP ソリューションでこの機能をオンにするだけで、Windows Server上のすべての共有フォルダが自動的に検出されます（管理者は、Elementsの管理ポータル上で、指定した共有フォルダをリストから除外して追跡されないように設定することもできます）。その後は、すべてが密やかに実行されます。ファイルを暗号化しようとするランサムウェアを検出しない限り、なにも通知されません

この製品では、デフォルトオプションとしてレポートモードが設定されています。レポートモードでは、ソフトウェアがランサムウェアの暗号化を検出した場合、管理者は通知を受け取りますが、ロールバック機能は自動的には起動されません。誤検出が懸念され、コンピュータ上で行われた正当な変更を誤ってロールバックしたくない場合は、このオプションを選択します。

もう1つのオプションは、ロールバック機能が自動的に作動するノーマルモードです。このモードでは、ランサムウェアが一部のファイルの暗号化を試みたという通知と、ファイルとフォルダの一覧が管理者に提供されます。数秒後には、すべてのファイルが以前の状態に自動的に復元されたことを示すフォローアップ通知が送られます。 

ランサムウェア保護機能の将来バージョンでは、悪意があると疑われる活動によって引き起こされたロールバックを管理者が取り消すことができる、非常に可能性の低いケースに備えた「選択的取り消し」機能を実装する予定です。この機能により、現在のユーザーセッション中に変更された「正当な」ファイルはそのままにして、感染したファイルのみを元に戻すことができます。