問題
- ランサムウェアからシステムを保護するためのベストプラクティスを使用したい。
- ESETアプリケーションのランサムウェア対策に関する一般的なベストプラクティス
- 一般的なランサムウェア対策
- 暗号化されたファイルの復元
詳細
クリックして拡大
ランサムウェアは、デバイスをロックしたりコンテンツを暗号化したりして、リソースへのアクセスを回復する代わりに所有者から金銭を脅し取るマルウェアです。この種のマルウェアには、支払い期限を設定したタイマーが組み込まれていることもあり、この期限を守らないと、データやハードウェアのロック解除にかかる料金が増額されたり、最終的に情報やデバイスが永久にアクセスできなくなったりします。
ランサムウェアは、個人ファイルやデータファイルを暗号化する感染症です。通常、ワークステーションが感染すると、ランサムウェアはマップされた共有ドライブを暗号化しようとします。このため、ネットワークを通じて感染が広がっているように見えても、実際には広がっていないことがあります。
ファイルが暗号化されていても、システムが感染していない場合もあります。これは、ファイルサーバー上の共有ドライブが暗号化されていても、サーバー自体にマルウェア感染が含まれていない場合に発生します(ターミナルサーバーの場合を除く)。
その他の既知のランサムウェアの例は以下のとおりです:
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt)、または見慣れない送信元からの電子メールやそのような電子メールからの ZIP ファイルを開いた後の "Win32/Filecoder.Locky.A" 感染。
- "CryptoLocker"、"Cryptowall"、"Dirty decrypt"、"CTB locker"
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
ソリューション
ESETアプリケーションの現在のバージョンは、ランサムウェアからコンピュータを保護するために複数のレイヤー技術を使用しています。
これらのテクノロジーの例としては、Advanced Memory Scanner、ESET LiveGrid® Reputation System、Exploit Blockerなどがあります。
さらに、最新のESETアプリケーションは、ランサムウェアとコマンド&コントロール(C&C)サーバ間の通信をブロックする、強化されたボットネット保護モジュールを提供します。
ESETアプリケーションの一般的なランサムウェア対策のベストプラクティス
- PUA(Potentially Unwanted Applications)の検出を有効にする
リンク先の記事の指示に従って、detect unwanted, unsafe, and suspicious applications(RMM(リモート監視・管理)ツール、脆弱なドライバ、ネットワークスキャナなど、システムにセキュリティリスクをもたらす可能性のあるソフトウェア)を検出します。これらのツールは、信頼され、署名された正規のものであり、組み込みのシステム・ユーティリティである可能性もありますが、ランサムウェアの侵入時に攻撃者によって広く悪用されています。潜在的に不要なアプリケーションと潜在的に不要なコンテンツに関する詳細情報.
-
Advanced Memory Scanner と Exploit Blocker を有効にしておく
これらの新しく設計された ESET アルゴリズムは、難読化や暗号化を使用してマルウェア対策製品による検出を回避するように設計されたマルウェアに対する保護を強化します。
アドバンスト・メモリー・スキャナは、マルウェアがメモリ内でデロイクした後の不審な挙動を検出し、エクスプロイト・ブロッカーは、標的型攻撃や、ゼロデイ脆弱性とも呼ばれる以前には見られなかった脆弱性に対する保護を強化します。
最大限の保護を得るためには、ESETアプリケーションを最新バージョンにアップグレードすることをお勧めします:
- ホームユーザーホームユーザー: ESETホーム/スモールオフィス製品(Windows)の最新バージョンを確認する
- ビジネスユーザービジネスユーザー: ESETビジネス製品(Windows)の最新バージョンを確認する
-
ESET LiveGrid®を有効にしておく
ESETクラウドマルウェア対策システムは、 ESET LiveGrid®に基づいています。未知の潜在的な悪意のあるアプリケーションを監視し、サンプルを自動サンドボックス化と動作解析の対象とします。
お使いのESET製品で、#@#publication_url id='927' target='_blank' content='ESET LiveGrid® レピュテーションとESET LiveGrid® フィードバックシステムが有効になっており、機能していることを確認してください。
-
ESETを常にアップデートする
既存のランサムウェアの新種は頻繁にリリースされるため、ウイルスデータベースの更新を定期的に受けることが重要です(有効なサブスクリプションとインターネット接続があれば、ESET アプリケーションは 1 時間ごとに更新をチェックします)。
- ホームユーザーホームユーザー: ESETのWindowsホーム/スモールオフィス向け製品のアップデート
- ビジネスユーザービジネスユーザー: 個々のクライアントワークステーションでESETエンドポイント製品を更新する - 最新の製品モジュールを確認する
-
仮想マシンユーザー
ランサムウェア対策として、ESET Endpoint Security for Windows を仮想環境で使用することをお勧めします。
-
Ransomware Shield が有効になっていることを確認してください。
Ransomware Shield は、Self-Defense テクノロジーの一部として、HIPS 機能の一部として機能するもう 1 つの保護レイヤーです。詳細については、ESET 用語集の Ransomware ShieldとESET アプリケーションでの設定方法を参照してください。
-
ESET ビジネス製品でランサムウェアから保護するための追加設定を手動で構成するか、ESET PROTECT On-Prem/ESET PROTECT Policy を使用して構成します。
- ESET ビジネス製品の HIPS ルールの設定' target='_blank'ESET ビジネス製品の HIPS ルールの設定
- ESET エンドポイントセキュリティのファイアウォールルールを設定する』 target='_blank'#@# Configure Firewall rules for ESET Endpoint Security
- ESET Mail Security for Microsoft Exchange Server の設定
-
通知
暗号化ベースのマルウェア(ランサムウェア)からのリスクを最小化
-
定期的にシステムのバックアップを計画し、少なくとも 1 つのバックアップをオフラインストレージに保存して、最新の作業を攻撃から保護します。
-
アプリケーション・データへのアクセス制限や、グループ・ポリシー・オブジェクト(GPO)としてあらかじめ組み込まれているものなど、さまざまな種類の制限があります。
- AppData および LocalAppData フォルダから実行されるファイルを無効にする。
- Tempサブディレクトリ(デフォルトではAppDataツリーの一部)からの実行をブロックします。
- さまざまな解凍ユーティリティ(WinZip や 7-Zip など)の作業ディレクトリから実行される実行可能ファイルをブロックする。
- さらに、ESET Endpoint Security for Windows、ESET Mail Security for Microsoft Exchange Server、ESET Server Security for Microsoft Windows Server では、HIPS ルールを作成して、コンピュータ上で特定のアプリケーションの実行のみを許可し、それ以外をデフォルトでブロックすることができます:#HIPS ルールを作成し、ESET PROTECT On-Prem を使用してクライアントワークステーションに適用する' target='_self'#@#.
-
ユーザーアカウント制御(UAC)を無効にしない
FAX、請求書、領収書を名乗る添付ファイルは、不審な名前がついていたり、受信することを予期していなかったりする場合は、開かないでください。
-
クラウドまたはオンプレミスのコンポーネントとして使用できるESET Secure Authenticationをお勧めします。詳細については、ESET オンラインヘルプをご覧ください。
-
脅威防御
ESET LiveGuard Advanced をお勧めします。
-
グループポリシーでMicrosoft Officeのマクロ(VBA)を無効にする
Microsoft Office 2019およびそれ以前のバージョン:OfficeのVBAマクロのセキュリティ設定を計画する
Microsoft Office 365 は 、Office Cloud Policy Service (OCPS) を使用して、インターネットからの Office ファイルでのマクロ実行をブロックするポリシーを実施します。
-
システムを最新の状態に保つ
利用可能な最善の保護を確保するために、オペレーティングシステムとアプリケーションを常に最新の状態に保ってください。Windows Updateツールで提供される優先度の高い最新の更新プログラムをインストールし、定期的に確認するか、自動更新機能を有効にします。新しいセキュリティ更新プログラムは、システムの脆弱性にパッチを適用し、マルウェア攻撃のリスクを低減します。
-
開いたままにすると悪用される可能性のあるポート/サービス
未知のIPアドレスによるブルートフォース攻撃を防ぐため、SMB、SQL、RDPをロックすることを強く推奨します。
サービス 推奨 SMB ファイル共有ポート135-139および445を閉じる。SMBポートはインターネットに公開しないでください。 SQL SQLへの接続を許可する信頼できるIPアドレスをホワイトリストに登録する。 RDP 外部接続へのRDPを閉じて、外部からのRDPブルートフォース攻撃を阻止する。内部ネットワークへの接続には、二要素認証付きのVPNを使用する。指定された回数の試行が失敗するとアカウントが自動的にロックアウトされるように設定する。強力なパスワードを強制する。未使用またはデフォルトのアカウント(管理者、admin、root)を無効にする。RDPログイン用に特定のユーザーとグループをホワイトリストに登録。RDP接続を有効にするために、特定のIPアドレスをホワイトリストに登録する。 -
リモート・デスクトップ・プロトコルの攻撃に対するベストプラクティス
暗号化ベースのマルウェアは、Windowsに組み込まれているリモート・デスクトップ・プロトコル(RDP)を介して標的のマシンにアクセスすることがよくあります。RDPを使用すると、他人がリモートでシステムに接続できるため、攻撃者はRDPを悪用して保護を解除し、マルウェアを展開することができます。
リモート・デスクトップ・プロトコルを無効にするか、変更することをお勧めします。RDPを使用する必要がない場合は、デフォルトのポート(3389)を変更するか、RDPを無効にして、ランサムウェアやその他のRDPエクスプロイトからマシンを保護することができます。RDPを無効にする方法については、以下のMicrosoft Knowledgebaseの記事を参照してください:
RDPの詳細については、以下のWeLiveSecurityの記事を参照してください:RDPとリモートアクセスの保護。
-
ESETアプリケーション設定をパスワードで保護する
ビジネスユーザであれば、パスワードを使用して、攻撃者による不正な変更から ESET アプリケーションを保護することをお勧めします。これにより、認証されていない設定の変更、保護機能の無効化、ESET 製品のアンインストールを防ぐことができます。RDP を使用する場合は、RDP ログイン認証に使用するパスワードとは異なるパスワードを使用することをお勧めします。
詳細については、ESETアプリケーションをパスワードで保護する方法を参照してください。
暗号化されたファイルは復元できますか?
最近のランサムウェアは、非対称暗号化と複数の暗号化アルゴリズムを使ってデータを暗号化します。つまり、ファイルは公開鍵で暗号化され、関連する秘密鍵がなければ復号化できません。現在のランサムウェアでは、秘密鍵が感染したワークステーションや環境に存在することはありません。つまり、感染前に作成された適切なバックアップからデータを復元する必要がある。
バックアップがない場合は、シャドウ・コピーからファイルの復元を試みることができます。Shadow Explorerをダウンロードしてください。
ただし、ランサムウェアに感染すると、シャドウコピーが削除され、ファイルの復元ができなくなることも珍しくありません。
ランサムウェアに感染した場合、どのような手順を踏む必要がありますか?
-
コンピュータをネットワークから切断します。
-
例えば、暗号化された共有フォルダ/ドライブの「復号化方法」など、支払い方法が記載されたTXTファイルまたはHTMLファイルを見つけます。マルウェア研究者は、さらなる分析のためにこれを使用する可能性があります。
