二重脅迫型ランサムウェアは，感染者からファイルへのアクセスを奪うだけでなく，感染者の端末からファイルを盗み，身代金を支払わなければファイルを公開したり売ったりするといった脅しを行う．バックアップを取っていれば暗号化されたファイルや削除されたファイルは元に戻せるかもしれないが，データ流出はなかったことにできないという観点から考えると，組織や個人にとって二重脅迫型ランサムウェアは非常に脅威である．ランサムウェアへの対策の 1 つとして，アンチウィルスソフト(AV) や Endpoint Detection and Response (EDR) などのセキュリティ製品がある．これらのセキュリティ製品はパターンマッチによる既知のマルウェアの検知だけでなく，不審な振る舞いを検知する機能により未知のマルウェアも検知可能であると言われている．大量のファイルの暗号化や外部送信などの特徴的な振る舞いを示す二重脅迫型ランサムウェアに対してもこれらの振る舞い検知の機能が有効に働くことが期待される．本稿では，二重脅迫型ランサムウェアの特徴であるファイルの外部送信とファイルの暗号化，ファイルの削除に着目し，AV やEDR がこれらの振る舞いを検知し阻止できるのかを調査した．7 つのAV と1つのEDR を調査対象とし，製品をインストールした環境で，自作した11 種類のランサムウェア(テスト検体) を実行した．その結果，ファイルの外部送信を検知，阻止できたセキュリティ製品は存在しなかった．また，ファイルの暗号化やファイルの削除を検知，阻止できたセキュリティ製品は多くても 1 つか 2 つ程度だった．以上のことから，AV やEDR はランサムウェアに対して十分な振る舞い検知の能力を有しているとは必ずしも言えないことがわかった．

Double extortion ransomware is a type of ransomware that exfiltrates victim’s files in addition to encrypting them or deleting them and threatens to release or sell them unless a ransom is paid. While backups may allow for file recovery, the fact that a data breach cannot be undone suggests that double extortion ransomware is a significant threat to organizations and individuals. Endpoint security products such as antivirus (AV) and endpoint detection and response (EDR) are countermeasures against ransomware. Thesesecurity products are designed to detect not only known malware by pattern matching, but also unknown malware by detecting suspicious behavior. It is expected that these behavior detection features will be effective against double extortion ransomware. In this paper, we evaluate seven AVs and one EDR against double extortion ransomware’s behavior such as file exfiltration, file encryption and file deletion. We developed custom ransomware (test samples) and executed them in the environments where AVs and EDR were installed. As a result, no products were able to detect or prevent file exfiltration and more than half of the products failed to detect or prevent file encryption and file deletion. From the above, it can be said that AV and EDR do not necessarily have sufficient behavior detection capability against ransomware.