FineArt News

コラム

ランサムウェアをブロック! エンドポイント制御でEDRも迅速対応

ランサムウェア対策には3つのポイントがあります。

  1. 事前ブロック:セキュリティリスクをなるべく軽減させる
  2. 定期バックアップ:データの持続性を確保する
  3. 感染防止:万が一感染しても即時に感染拡大を防止して被害を軽減させる

一般的に1と2の間を繰り返し実施してインシデント発生時に感染拡大を止め、対処後にバックアップしたデータを復元するのが一連の対応になります。

事前ブロック

事前ブロックで有効なのがアプリケーション制御です。ファインアートの検証では、未許可のプロセス実行を禁止すれば、ほぼ全てのランサムウェアをブロックできます。具体的には去年2020年12月某メーカーのメキシコ工場で数十億の身代金を要求したDoppelPaymerによる攻撃、2021年4月にAppleで設計図を窃取して同じく数十億の身代金を要求したREvilによる攻撃などにも対応できます。

治療より予防とはよく言ったもので、アプリケーション制御は例えばマスクのようなもので、簡単で確実な予防になるのでウイルスの侵入ルートを遮断できます。

アプリケーション制御は、ホワイトリスト形式であれば悪意あるプログラムの動作をブロックでき、早期に予防できる仕組みとして非常に有用です。ホワイトリスト形式はブラックリスト形式と違い、無数の悪意あるプログラムを把握して禁止する必要はなく、事前に許可したプログラムしか実行できないので、後になってあれもこれも禁止できていないというような状況にはならず、ランサムウェアの日々のアップデートにも対応できます。

しかしホワイトリストのアプリケーション制御は強力すぎて、諸刃の剣にもなり得ます。適切に設定しないと業務用ソフトウェアが実行できない状況にも陥りかねません。運用するには柔軟なホワイトリスト管理が不可欠です。

アプリケーションホワイトリストの柔軟な管理には以下の機能が含まれます。

  1. スキャン:ユーザや管理者が端末のアプリケーションをスキャンして基準となるホワイトリストを作成
  2. 観察モード:期間を設けて、ユーザが実行したプログラムを収集してホワイトリストに追加する
  3. ユーザ決定:ユーザ自身でアプリケーションをホワイトリストに追加、制御の一時停止を設定
  4. 継承:信頼済みアプリケーションがコールしたサブプログラムを動的に信頼する
  5. 親プログラム限定:正規プログラムを経由しての攻撃を防止する
  6. 柔軟さチェック:アプリケーション署名の部分一致で許可する。例:*Microsoft*
  7. 記錄:アプリケーションの完全な実行ログ、ログから直接ホワイトリストへ追加する

ホワイトリストの適切な管理により、任意のプログラムやドキュメントの派生動作も制御して、悪意あるプログラムの実行ポイントを確実にとらえてブロックすることで、予防の目的を達成できます。

定期バックアップ

ランサムウェアに対して、バックアップは必要な災害軽減対策です。この場合はTSFのセキュリティバックアップを推奨します。

一般ユーザにとって、バックアップは面倒な作業であり、しばしば無視されることもあります。セキュリティバックアップはこの面倒さを解消して、自動でデータをローカルやファイルサーバに定期的にバックアップするので、ユーザに全く認識されることもなく日々のバックアップが完了します。

TotalSecurityFortのフォルダ保護では、安全な作業フォルダをユーザに提供します、このフォルダは指定アプリケーションしかアクセスできないので、悪意あるプログラムからのアクセスを完全に遮断します。

このフォルダ保護機能をバックアップフォルダに適用するとさらなる保護ネットワークを構築できるので、データの安全性を確保できます。仮にHDDが丸ごとランサムウェアに破壊されても、TSFのフォルダ保護機能で保護したデータはバックアップ当時のままで守られます。

拡散防止

EDR(エンドポイントの検出と対応:Endpoint Detection and Response)ソリューションの使用を推奨します。問題が発生した場合、エンドポイントが自己反応してブロックすることができ、災害拡大を避けられます。

一部のITスタッフはセキュリティ問題に対して、人的制約によっては大問題が発生した場合にしか対処できないことがよくあります。EDRソリューションは、従来の受動的なアプローチとは異なり、ITスタッフの負担を軽減して、特定のセキュリティイベントに応じて自社の規定に従って自動的に一連の反応を行うことができます。

例えば、特定の国のIPに接続された場合に、システム管理者や関連する上長に通知するように設定できます。もっと厳格に制御する場合は、ユーザのローカルネットワークを切断してUSBを制御した上、ファイル操作ログを記録することでユーザの操作履歴を収集します。

従来のセキュリティツールは既定のルールによる制御しかできず、柔軟な管理ができません。しかし、EDRであれば企業の許可範囲内柔軟に対応ます。また、制御ポリシーが設定された後でも、特定イベントが発生した場合に自動的にポリシーを調整できます。これにより多くの人的コストを節約し、人為的なミスを減らすことができます。

結論

ホワイトリストアプリケーション制御やフォルダ保護、EDRなどの機能は、ランサムウェア対策に限定されるものではなく、悪意あるプログラムやウイルスまたは未承認プログラムの実行を防止するためにも使用できます。TSFはSVSセキュリティディスク(ファイル暗号化)、外部記憶デバイスの制御、Officeマクロの無効化、コマンド実行ログの記録などの制御機能も提供しています。これらの機能を組み合わせて使用することで、より包括的なランサムウェア対策が可能となります。