🔥 この記事の詳細
2026-05-26 更新
C
月内に

アンチウイルス(AV)およびEDRの検知ロジックと、それを回避する「免殺(AV Evasion)」技術の変遷について解説した記事です

脆弱性🌐 英語ソース
📅 2026-05-26📰 freebuf
📌 一言でいうと
アンチウイルス(AV)およびEDRの検知ロジックと、それを回避する「免殺(AV Evasion)」技術の変遷について解説した記事です。特徴碼検知からヒューリスティック、AI/クラウド検知、そして現在のEDRによる全方位的な監視へと進化してきた過程が詳述されています。攻撃者がどのように検知を回避し、メモリ内実行やシステムコールを直接利用するかという視点から、防御側の弱点を理解することを目的としています。
🔍該当判定
  • Windows Defenderやノートン、ウイルスバスターなどのウイルス対策ソフトを導入している
  • EDR(CrowdStrike, SentinelOne, Trend Micro Vision One等)を導入して端末監視を行っている
  • 社内で不特定多数の外部ファイル(メール添付ファイルやWebからのダウンロードファイル)を扱う業務がある
上記いずれにも該当しない → 静観でOK
該当時の対応
単一の検知手法に頼らず、多層防御(Defense in Depth)を構築すること。特にEDRのログ監視を強化し、不審なメモリ操作やAPI呼び出しなどの振る舞い検知に注力することが推奨されます。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AV/EDRの検知回避(免殺)技術の傾向について

お疲れさまです。AV/EDRの検知ロジックと回避手法に関する技術情報の共有です。

■ 概要
本記事では、攻撃者がAV/EDRを回避するために用いる「免殺」技術の変遷と仕組みが解説されています。単純なシグネチャ変更から、コード混淆、メモリ内実行、そして最新のAMSI/ETWバイパスや直接システムコール(Direct Syscalls)に至るまで、検知エンジンの弱点を突く手法がまとめられています。

■ 影響範囲
- エンドポイントセキュリティ製品(AV/EDR)を導入している全環境

■ 対応手順
1. 現在導入しているEDRの検知ルールが、最新の回避手法(Direct Syscalls等)に対応しているか確認する。
2. 振る舞い検知(Behavioral Analysis)の閾値を最適化し、不審なプロセスインジェクション等のアラートを監視する。
3. OSおよびセキュリティソフトを最新バージョンに維持し、検知エンジンの更新を適用する。

■ 参考情報
- FreeBuf: 免杀基础篇1:你的杀毒软件是怎么被骗过去的?

対応優先度: 低
対応期限: なし
Subject: [Info] Trends in AV/EDR Evasion (AV Evasion) Techniques

Hi all,

I am sharing technical information regarding the logic of AV/EDR detection and the methods used to bypass them.

■ Overview
This article explains the evolution and mechanisms of 'AV Evasion' techniques. It covers the progression from simple signature modification and code obfuscation to in-memory execution and modern techniques such as AMSI/ETW bypassing and Direct System Calls.

■ Scope
- All environments utilizing endpoint security products (AV/EDR).

■ Recommended Actions
1. Verify if current EDR detection rules are effective against modern evasion techniques (e.g., Direct Syscalls).
2. Optimize behavioral analysis thresholds and monitor alerts for suspicious process injections.
3. Ensure OS and security software are kept up-to-date to benefit from the latest detection engine updates.

■ Reference
- FreeBuf: 免杀基础篇1:你的杀毒软件是怎么被骗过去的?

Priority: Low
Deadline: N/A
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-26 のまとめ🔍 記事を検索