近年猛威を振るっているランサムウェア、もし、あなたが会社のシステムやセキュリティ担当者で、組織内で感染してしまったら、あなたには、だいたい3つの選択肢しかありません。
1. 身代金を支払う。
2. セキュリティベンダーが提供する普及ツールにかけてみる。(No More Ransom サイト)
3. 諦めてゼロからインストールする
セキュリティやシステム担当者であれば、感染してしまったPCを一台ずつゼロからクリーンインストールすることは、かなりの手間と時間がかかる作業でしょう。こんな事態にならないためにも、感染しないための対策を知って、検討しましょう。出来る部分は、すぐにでも実施していきましょう。
目次
1. 感染経路の把握
まずは、ランサムウェアに焦点を当て、対策の検討をすすめていきます。
主要な感染元となるポイントを押さえて対策をとることが、一番現実的でしょう。
ランサムウェアの主要な感染経路は、メール経由とウェブ閲覧による悪意あるサイトへのアクセスです。※1
ここでは、基本的に押さえてほしいベーシック対策、さらにアドバンス対策の2ステップで説明をします。
<※1:Malwarebytes – Understanding Depth of the Global Ransomware Problem– Figure 13 参照
WannaCry の場合、違った方法で感染したとされています。この感染に関しては、今後情報が明確になった際に別途説明する予定です。>
2. ベーシック対策
2-1 メール経由での対策
大前提として、送信元が怪しい、添付メールを不用意に開かないことや、URLをクリックしないことが重要です。最近は、攻撃者側も巧妙になってきており、見分けることが難しい場合があります。すぐにとれる対策として、以下があります。
送信元のメールアドレスの確認。メールアドレス自体が知らないものだったり、該当しないドメインではないか確認しましょう。送信元が怪しいドメイン、初めてきたアドレス、特定できない場合は、開かないことです。
添付ファイルの場合、添付されているファイル属性を判別できるような設定にしましょう。
設定方法などは、以下の記事等参考にしてください。
(ファイル拡張子を表示して怪しいファイルを見分けるための設定:http://www.active.go.jp/security/knowledge/file/setting.html)
2-2 悪意あるサイトへのアクセス保護
ユーザーがブラウザを使って、インターネットへのアクセスやファイルダウンロードをする場合に、悪意あるサイトにアクセスしてしまい感染するケースです。この場合の対策として、インターネットへアクセスする出入口(ゲートウェイ)で対策をとることです。
この場合、組織内であれば、その企業の出入口となるゲートウェイの部分で対策をとることと、社外からのアクセスも考えた端末レベル(エンドポイント)でのウェブ制御の2つを考える必要があります。
ゲートウェイレベルの対策は、従来ではプロキシを設けることでセキュリティ対策としてきましたが、攻撃が進化した現在では、プロキシだけでは十分ではなく、URLフィルタリングとよばれる対策とゲートウェイ上でのアンチウイルス対策の3つを組み合わせた多段階防御の対策あわせて考えることが理想的です。
2-3 端末レベル(エンドポイント)の対策
最近のアンチウイルス製品は、エンドポイント製品という表現に変わり、アンチウイルス機能だけでなく、エンドポイントレベルで必要とされる様々な対策が実装された統合型セキュリティ(エンドポイントスイートなどと言われる)を提供することが一般的です。ほとんどのベンダーが提供するエンドポイント製品で、ウェブ制御機能が実装されています。社外からアクセスする可能性のある端末は、最低でも、エンドポイントレベルでのウェブ制御機能を利用することを推奨します。
同時に、端末のOSやアプリケーションを、できるだけ最新の状態に保つことも重要です。OSやアプリケーション提供側で、随時、脆弱性にたいしての修正版をリリースしています。最新の状態を保つことで、脆弱性を狙ったゼロデイ攻撃を事前に防ぐことができます。
3. アドバンス対策
攻撃側のほうが進化しています。今後、ランサムウェアも進化していくことを考えて、対策を検討する必要があります。攻撃側の目的も様々ですが、現在、効率的に金銭的を稼いだり、特定の組織を妨害する目的にはランサムウェアが一番効果的な手段であると言えるでしょう。そのため、ランサムウェアはマルウェアの1種と捉えたうえで、今後の対策を検討するべきです。感染しないためにも、広範なレイヤーで対策をとることが重要です。いわいる多層防御の考え方で取組めるといいでしょう。
マカフィーは、その考え方をさらに進めて、様々な多層も連携させ自動化するセキュリティコンセプト「脅威対策ライフサイクル」と統合アプローチを推進しています。
3-1 悪意あるサイトへのアクセス保護(ゲートウェイレベル)
プロキシ+URLフィルタリング+ゲートウェイアンチウイルス という3段構えの多層防御をさらに強化するアプローチです。アプローチには2つあります。1つは、ゲートウェイマルウェアの精度を上げるテクノロジーの導入。2つめは、ゲートウェイレベルとサンドボックスを連携して活用することです。どちらも、マカフィーでは、統合アプローチとして提唱しているアプローチです。
3-1-1 ゲートウェイマルウェアの精度を上げるテクノロジーの導入
通常、ゲートウェイレベルで対策を行ったとしても、最大80%程度のブロックと言われています。残り20%は、判別不明なファイルとして処理されます。マカフィー独自に開発された GAM (Gateway Anti-Malware) を活用するとブロックレベルを飛躍的に上げることができます。ゲートウェイレベルで最大 99.5% のマルウェアをブロックすることが可能です。McAfee Web Gateway には、GAM を実装できるオプションが用意されています。
ゲートウェイレベルのGAMテクノロジーを実装した、クラウドサービス (McAfee Web Gateway Cloud Service) も提供しています。クラウドでのサービス提供ですので、端末がどこにあっても、社内からゲートウェイを介してインターネットにアクセスすることと同じレベルの対策をとることができます。
3-1-2 ゲートウェイ対策とサンドボックスの連携
ゲートウェイレベルでブロックできなかった場合、判別不明のファイルは、サンドボックスに送って解析し、マルウェアの場合はブロックすることで、端末に及ぶ前段階でランサムウェアやマルウェアをブロックするアプローチです。
マカフィー製品を活用する場合は、ゲートウェイレベル (McAfee Web Gateway) とサンドボックス (McAfee Advanced Threat Defense) は連携される前提で設計されているので、すぐにこのアプローチを採用することができます。連携をすることで、より強固なセキュリティ対策を構築することができます。
3-2 端末(エンドポイント)の対策
従来のアンチウイルスは、パターンファイルマッチングというテクノロジーをベースに展開されています。これは、どこかでマルウェアとして認識されたものを、アンチウイルスソフトの登録データに登録して、マッチした場合にブロックするというアプローチです。この場合、既知のマルウェアを確実にブロックしますが、新種や亜種のマルウェアに対しては、効果的ではありません。
最近になって、大量のデータ処理を扱えるだけの機器やテクノロジーの進化に伴って、新しいマルウェアブロックの技術が台頭してきました。それが、振る舞い検知とよばれるアプローチです。機械学習やAIなどと言われているマルウェア対策です。
マカフィーのエンドポイント製品では、機械学習のテクノロジーを活用した、振る舞い検知機能を実装するオプションを提供しています。オプションで実装されている機能は、Real Protect と Dynamic Application Containment (DAC) といわれるコンポーネントです。振舞い検知でも、実行前の検知、実行して検知する2つのテクノロジーと、実行したとしても制御させる技術を組合せた対策を提供しています。
より詳しい説明は、ソリューションブリーフを参考ください。(ダウロードには個人情報を入力する必要があります。)
さらに、それでも完全に保護できないケースを想定して、エンドポイントレベルでインシデント対応の効率化支援する EDR (Endpoint Detection and Response) と呼ばれる分野のソリューションとして、McAfee Active Response (MAR) を提供しています。 また、端末の物理的な接続口となるUSBポートからの感染も保護する必要があります。ポートを制御する仕組みとしてデバイスコントロールの導入の検討をお勧めします。また、運用面でも許可されたUSBデバイスのみを利用できるようにするなど、ツールと運用の両面で制御することが有効です。
上記は、最近話題になっているランサムウェアやマルウェアの対策を中心に進めていますが、今後、ランサムウェアがどのような形に進化していくのかを予想することは困難です。
マカフィーでは、多層防御からさらに一歩進んだアプローチでソリューションを提供しています。
これからの攻撃の変化や進化へ対応するには、組織が脅威の変化や進化に柔軟に対応できるアプローチを構築することが重要です。マカフィーでは、それに対応するために「脅威対策ライフサイクル」というセキュリティコンセプトのアプローチを提唱しています。このアプローチに沿って、様々なソリューションを提供しています。
詳細は、“ライフサイクル”で考えて効率化する脅威対策をご覧ください。
著者:マカフィー株式会社 マーケティング本部
