[KB6102] ランサムウェアから保護するESET Mail Securityの設定

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

問題

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

詳細


クリックで拡大

デフォルトのアンチスパムルールを使用して、受信メールはすでにメールサーバー自体でフィルタリングされています。これにより、悪質なドロッパーを含む添付ファイルがエンドユーザーのメールボックスに配信されず、ランサムウェアが実行できないようになっています。

Microsoft Exchange サーバー上でランサムウェアのマルウェアをさらに防ぐには、最新の ESET Mail Security for Microsoft Exchange Server で以下のルールを作成するか、ESET PROTECT ポリシーを作成して適用します。


対策

本番システムで設定を調整しない

以下の設定は追加設定であり、セキュリティ環境に必要な具体的な設定は異なる場合があります。本番環境で使用する前に、テスト環境で各実装の設定をテストすることをお勧めします。

手動で ESET PROTECT ポリシーを作成する/ESET Mail Security for Microsoft Exchange Server で設定を構成する

  1. #ESET PROTECT または ESET PROTECT On-Prem を開く' target='_self'#@#.クイックリンク]ドロップダウンメニューで、[新しいポリシーの作成]をクリックします。

ESET Mail Security for Microsoft Exchange Server をクリックします:

ESETのWindows製品のメインプログラムウィンドウを開くをクリックし、F5キーを押して詳細設定にアクセスし、ステップ3に進みます。

  1. 設定]を クリックし、[製品の選択]ドロップダウンメニューで[ESET Mail Security for Microsoft Exchange Server (V6+)]を選択します。
図 1-1
クリックすると新しいウィンドウで拡大表示されます。
  1. Server] → [ Rules] をクリックします。Mail Transport Protection」の下にある「Rules」の横にある「Edit 」をクリックする。
図 1-2
クリックすると新しいウィンドウで拡大表示されます。
  1. 追加」を クリックして、一般的なランサムウェアのドロッパーを隔離するルールを作成します。
図 1-3
  1. 名前」フィールドに「Ransomware droppers」と入力します。条件タイプ] セクションで [追加] をクリックします。
図1-4
  1. タイプ 」ドロップダウン・メニューから「添付ファイル名」を選択し、「追加」をクリッ クします。
図 1-5
  1. 複数の値を入力」をクリックします。
図 1-6
  1. 以下のファイル名を入力し、それぞれの後にReturn またはEnterを押してOK→OKをクリックします。

    • *.js
    • *.hta
    • *.doc
    • *.docm
    • *.xls
    • *.xlsm
    • *.ppt
    • *.pptm
    • *.vbs
    • *.bat
    • *.wsf
    • *.7z
    • *.zip
    • *.rar
図1-7
  1. アクションの種類] の下の [追加 ] をクリックし、[種類] ドロップダウン メニューで希望するアク ションを選択します。この例では、[隔離メッセージ] を選択します。OK]→ [OK] をクリックします。
図1-8
アクションタイプの追加
オプションとして、以下のようにアクションタイプを追加できます:
  • 添付ファイルの削除
  • 添付ファイルを隔離する
  • 添付ファイルをアクション情報で置き換える
  • メッセージの削除
  • 電子メール通知の送信
  • 他のルールを評価する
  • イベントへのログ記録
  1. 危険な実行可能ファイルの添付ファイルの横にあるチェックボックスを選択し、[編集]をクリックします。
図1-9
  1. 条件タイプ]のエントリを選択し、[編集]をクリックします。
図 1-10
  1. プラスアイコン( )をクリックして実行可能ファイルを展開し、システム環境で許可する各ファイルタイプの横にあるチェックボックスを選択し(チェックボックスを選択すると、上記のステップ10で選択 した アクションタイプによって 削除されるアイテムの選択が解除されます)、OKOKをクリックします。

以下の実行ファイル添付が処理されます。ネットワーク環境でこれらのファイル形式のいずれかを使用する必要がある場合は、どのファイル形式をブロックするかを変更できます。ほとんどの企業では、.exe.msiファイル形式の選択を解除することをお勧めします。

    • Windows 実行可能ファイル (*.exe, *.dll, * .sys*, *.drv; *.ocx, *.scr)
    • MS-DOS 実行可能ファイル (*.exe)
    • ELF実行可能およびリンク可能形式(Linuxなど)(*.elf)
    • Adobe Flash(*.swf)
    • Javaクラスバイトコード (*.class)
    • Windowsインストーラパッケージ (*.msi)
    • Apple OS X Universalバイナリ実行ファイル
    • Apple OS X Mach-Oバイナリ実行ファイル
    • Android実行ファイル(*.dex)
図 1-11
  1. ルール] ウィンドウで[保存]をクリックします。ポリシーをクライアントまたはグループに割り当てる場合は [割り当て] を展開し、割り当てない場合は [新しいポリシー - 設定] 画面の [完了] をクリックします。割り当てられた場合、ESET PROTECT または ESET PROTECT On-Prem にチェックインすると、ポリシー設定が対象のグループまたはクライアントコンピュータに適用されます。

Microsoft Exchange Server ユーザ向けの ESET Mail Security:

ESET Mail Security for Microsoft Exchange Server をリモート管理なしで使用している場合は、OK をクリックします。


ESET PROTECT ポリシーのダウンロードとインポート

ESET Mail Security for Microsoft Exchange Server 用の ESET PROTECT ポリシー(ランサムウェア マルウェア(ファイル コーダー)から保護するためのアンチスパム設定を追加)は、以下のリンクからダウンロードしてインポートできます。

ESET PROTECTポリシーは、ESET製品の最新バージョンでのみ使用できます。それ以前のバージョンとの互換性は保証できません。

  1. 追加のランサムウェア対策 ESET PROTECT ポリシーをダウンロードする。

  2. ESETプロテクトまたはESETプロテクトオンプレムを開く.メインメニューで

  3. Policies ActionsImport をクリックします。
図 2-1
クリックすると新しいウィンドウで拡大表示されます
  1. Choose file to upload をクリックし、ダウンロードしたポリシーを選択し、Import をクリックします。
図 2-2
  1. ポリシーをクライアントに割り当てるかポリシーをグループに割り当てます。ポリシー設定は、ESET PROTECT または ESET PROTECT On-Prem にチェックインすると、対象のグループまたはクライアント コンピュータに適用されます。


ランサムウェアドロッパーフィルタリングの例

以下は、ランサムウェアドロッパーポリシーがランサムウェアドロッパーをフィルタリングする例と、対応するメール隔離レポートです:

図 3-1
図 3-2