FineArt News

コラム

日本IPA(情報処理推進機構)が2021年に発表した日本企業情報セキュリティの10大脅威によると、ランサムウェアは去年の5位から今年は急上昇して1位になりました。これは、企業に対するランサム攻撃がハッカーの主な収入源になっていることを示しています。彼らは身代金を支払う可能性がある企業を攻撃するようになり、以前のような無差別な攻撃ではなくなっています。企業のセキュリティ防御は向上していますが、ハッカーのグループ化によりランサムウェア攻撃の方法も日々進歩しており、企業の防御はますます困難になっています。ランサムウェアに対処する際には、防御のみに頼らず以下で紹介するランサムウェア発症に対応する4段階対策計画も対策として検討する価値があります。

ランサムウェア発生の4段階対策計画

【段階1:攻撃前】

ランサムウェアは、ネットワーク・フィッシングサイト・Officeマクロ・USBメモリ・不明なメールなど、どのチャネルからでも侵入する可能性があります。人為的な操作による想定外の結果が原因で、悪意のあるプログラムが企業の内部ネットワークに潜伏することはよくあります。悪意のあるプログラムは通常、企業内部のサーバをスキャンし、今後攻撃するための脆弱性またはADアカウント権限などの情報を取得します。

予防策:予防方法はたくさんありますが、以下はTSFエンドポイント保護による防御に役立ついくつかの項目の説明です。

  1. Officeマクロを停止して、NetWalkerやSpiderなどのマクロ攻撃によるランサムウェアを防止します。
  2. アプリケーション制御を使用して、PowerShellやCommand.exeなどのWindowsツールをexeでのみ実行できるように指定し、他の実行可能ファイルを介してPowerShellやCommand.exeでランサムウェアが実行されるのを防止します。
  3. デバイス制御:外部ストレージ記憶デバイスやBluetoothなどの無線ファイル転送デバイスを無効にして、ユーザが企業にランサムウェアを持ち込むのを防止します。
  4. EDRのランサムウェアデコイを有効にして、PCの適切な場所に複数のデコイファイルを配置し、ランサムウェアの攻撃に備えて受動的防御をします。

【段階2:攻撃の発生】

ランサムウェアが企業内部ネットワークに潜伏し、必要な権限または漏洩情報を取得した後、ターゲットのPC(サーバ)ファイルを暗号化して、復号するための身代金要求メッセージを表示します。

予防策:

  1. EDRデコイファイルが暗号化されるのを検知した場合、即座にそのPCのインターネットおよび内部ネットワークの接続を切断し、PCを強制シャットダウンしてウイルスの動作を阻止します。
  2. アプリケーション制御仕組みを利用して、企業内の「アプリケーションホワイトリスト」を設定します。リストにある許可された安全なプログラムのみ実行でき、それ以外のプログラムは実行できません。これにより、正規プログラムに偽装したランサムウェアや不審なソフトウェアの実行を防ぎます。

【段階3:拡散移動】

ランサムウェアにより内部ネットワークでの拡散方法が異なります。ネットワークを介して拡散するものもあれば、RDPの脆弱性を利用して攻撃するものもあります。ウイルスの拡散を効果的に阻止するための計画を立てることが望ましいです。

予防策:

  1. 各PCでEDRデコイのトリガー機能を有効にして、ローカルネットワークのランサムウェア拡散を防止します。ランサムウェアが内部ネットワークを介して拡散を開始する場合、EDRデコイファイルの変更が検知されるとPCの接続を切断してウイルスの拡散を防止します。このように、EDRデコイファイル機能は攻撃発生段階および拡散移動段階の両方に対して、一定の効果を発揮できます。

【段階4:損害復元】

ランサムウェアによる侵入をある程度防いだとしても、ファイルの破損や暗号化などの損害を受ける場合があります。そのため、事前に復元計画を立てることが重要です。

予防策:バックアップ作業は、ランサムウェア対策によらず、日常から実施すべきです。ファイルバックアップ・フォルダ保護とバックアップ・システムバックアップなど、さまざまなバックアップ方法があります。以下では、TSFの「フォルダ保護(Folder Access Control)+ファイルバックアップ」を例に説明します。

  1. PCやサーバの特定ファイルを指定したフォルダにバックアップするように設定します。
  2. バックアップフォルダにフォルダ保護を施し、ランサムウェアによるフォルダへの攻撃を防ぎます。
  3. ランサムウェア攻撃が発生した場合でも、バックアップフォルダは保護されているためランサムウェアはこのフォルダを攻撃できず、攻撃に対処した後にバックアップフォルダからバックアップファイルを復元します。

SVSセキュリティディスクでランサムウェア攻撃を防ぐ

近年、IT企業に対するランサムウェア攻撃は暗号化だけにとどまらず、暗号化したファイルのバックアップを手元に置き、身代金を支払わない企業に対して、機密情報を公開するなど脅迫する事件も発生しています。

このような脅迫に対しては、DRM製品の導入が有効です。例えば重要な機密ファイルをSVSセキュリティディスクに保存すれば、ドライブ内のファイルをランサムウェア攻撃から保護することができます。SVSセキュリティディスク自体も自己防衛機能があり、ランサムウェアの暗号化を防止できます。SVSセキュリティディスクを利用することで、ランサムウェアが発動する前から発作や拡散までのすべての段階で防御をして、重要なデータを有効に保護できます。このようなSVSセキュリティディスクの保護方法では、攻撃者が事前にバックアップを取っていたとしてもSVSファイル自体が暗号化されているため、機密情報を公開するにも復号できない以上、脅迫の材料になりません。

ランサムウェアへの一番の対策はバックアップ

F-Secure Antivirusのセキュリティ研究責任者であるMikko Hypponen氏は、「暗号化とバックアップは、セキュリティ上最も効果的な方法である」と述べています。防御側は防御の壁を強化して攻撃側はより強力な武器を磨いていますが、すべての防御措置が整備された時にはバックアップが最も効果的な方法であり、未知の新しい攻撃が出現した場合でも災害後の復旧リソースとして利用できます。

  1. リバースエンジニアリングの脆弱性を利用した攻撃方法
  2. テレワークにおけるセキュリティポリシー自動切替の重要性
  3. フォルダ保護でランサムウェア対策
  4. ターゲット型ランサムウェアとマルウェアによる情報搾取の手法分類
  5. TSFによるログの可視化で情報漏洩を徹底追跡
  6. TSFによる異常行動の解析
  7. ランサムウェアをブロック! エンドポイント制御でEDRも迅速対応
  8. ホワイトリスト制御の原理:誰を許可するか?
  9. エンドポイント制御で内外からの脅威に対応
  10. 内外同時保護・TSFが提案する監視保護推奨対策