ランサムウェアからWindows PCを守る11の方法

セキュリティセキュリティ

インターネットを接続したWindows搭載PCにはサイバー攻撃やランサムウェアなどの脅威が存在する。このランサムウェアの脅威はサイバー攻撃の50%以上を占めていると報告。この脅威から防ぐ方法を紹介します。

1.クライアントとサーバーのパッチ管理

Windows UpdateでWindows搭載PCを最新の状態に保つ事が、既知の脅威に対抗する為に必須。
未知の脅威である、ゼロデイ攻撃の脆弱性の場合は対応は不可能。しかし、世界中の150カ国で被害が出たランサムウェア【WannaCry】の場合は、その登場の2か月以上前にWindowsがリリースしていたパッチさえあてていれば被害にはあは合わなかった。

つまり、Windowsは事前にその危険性を発見し対策をしていたが、一般利用者や組織内で利用するツールの場合、アップデートが止まっていた事は非常に問題。
しかし大規模システムや医療機器の更新コストは莫大であるが、その為の損害はそれを遥かに超えるものである。
ランサムウェア【WannaCry】対策

2.セキュリティソフトウェア及びハードウェアアプライアンスのアップデート

組織はネットワークとデータを最大限管理するためには、それぞれ異なるニーズとリソースを持っている。
組織に求められるものは、ネットワークの出入り口でトラフィックをフィルタリング可能な【ファイアウォール】や【侵入防止システム】など共通点も存在する。また、ファームウェアのアップデートやシグネチャーと共に、ネットワークの保護要件に合わせて手動でセキュリティ関連の設定を行うことも可能。

ネットワークのニーズに合わせて設定を更新し、デバイスの正常性を能動的に監視する事も重要であり、これによってネットワークのセキュリティが強化され、また、外部の攻撃から守る事が出来る。
これらは、Windowsベースの端末にだけ当てはまるという訳ではなく、不正なネットワーク侵入や攻撃から身を守る為の方法

3.デバイスのセキュリティをハードニング

クライアントやサーバーのセキュリティを強化する事は、内部や外部からの攻撃を制限する為に必要不可欠な要素です。WindowsクライアントとWindowsサーバーでは、セキュリティ面を強化するにはプロセスが異なっている。

【どの端末を使用するか?】を正しく評価する事が、端末の整理につながります。必要とされていない、若しくは非推奨のアプリケーションやサービス、さらにインターネットに接続された端末は、多かれ少なかれ悪用される可能性がある。

Microsoftはデバイスとデバイス上で動作するアプリケーションの脆弱性評価を行う【Microsoft Baseline Security Analyzer(MBSA)】というツールを公開している。このツールは、クライアントとサーバーの両方で使用可能です。

4.バックアップデータの管理

データのバックアップを必ず行います。これは、コンピューター上の動作と同じくらい、コンピューター内のデータは信頼性の高いです。しかし、1度データが破損したりウイルスに感染すると、その瞬間から信頼出来ないものになります。

ランサムウェアに対する最高の防御策は、バックアップシステムを構築することです。
レイド(RAID)などの、いくつか優れたバックアップシステムが存在し、1度に複数の異なるSSDメディアなどにデータをバックアップする機能や、ローカルドライブの増分をバックアップに残す事や、クラウドストレージ上にコンスタントにバックアップを保存するなどすれば、突然ランサムウェアにデータを人質に取ら金品を請求されたとしても、バックアップから最適なものを選んでシステムを復元することが可能になります。

Windowsデフォルト機能の【バックアップおよび復元ユーティリティ】は複数のメディアにバックアップを保存するのに適したツールです。また、WindowsのOneDriveを使ってクラウドバックアップ機能を活用する方法もある。さらに、組織全体若しくはクラウド間でデータバックアップを一元管理する為のサードパーティー製ソフトウェアが複数のプロバイダから公開(リリース)されている。

5.データの暗号化

データ全体を暗号化してもコンピューターがランサムウェアに感染することを防げません。また、デバイスがウイルスに感染すれば、暗号化されたデータがさらに暗号化されてしまうことを防ぐこともできません。
暗号化されたファイルがウイルスによって再度暗号化される訳です。
対策も有りますが実用的では無いでしょう。
アプリケーションを使って、コンテナ化の一形態を使用して暗号化されたデータをサンドボックス化する事で、コンテナアプリケーションのAPIの外にあるプロセスではデータを完全に読み取れないようにする事が可能です。バックアップデータに処理する事は実用的と言えますが、普段日常的に利用するデータやネットワーク経由で転送されるデータに対してこういった手段手法は無理です。
その場合には、VPNによって、データの送受信経路に仮想的なトンネルを作成しデータを保護する事がいいでしょう。

ランサムウェアでは無く情報流出には暗号化は有効です。

6.セキュリティ保護されたネットワークインフラの構成

ルーターやスイッチ、ワイヤレスアクセスポイントなど、ネットワーク機器は最新のファームウェアと適切な設定が必要ですし、問題点が本格化する前に問題の対処が出来るような監視が必要です。

設定プロセスの一環としては、最適化されたネットワークがVLAN又はセグメントトラフィック用に設定され、可能な限りに効率的な方法でデータを取得できるように管理する必要がある。
VLANのもう一つのセキュリティ上の利点は、悪意のあるトラフィックや感染したホストを論理的に隔離する事で、感染拡大を未然に防ぐことが可能な点です。勿論その状態でデバイスの復旧を安全に行う事ができます。

7.ネットワーク・セキュリティ・利用規約・データリカバリーなどに関するポリシー

ポリシーは従業員によるルールと規則の順守を強制する為のものであり、大規模な組織においては必要不可欠なものです。

8.管理文書の変更

変更管理プロセスの文書化(又はクライアント/サーバーへの全ての変更の記録、パッチの展開、ソフトウェアのアップグレード、ベースライン分析など)と、ランサムウェアの完全な防止との間に直接の相関は無い

システムに加えられた全ての変更が、提供されたサービスおよび稼働時間の可用性に与える結果を適切にテストし、測定する事が出来ます。 管理者、請負業者、およびその他のサポート担当者が検討して、いくつかの問題の原因を特定したり、今後の再発に対処したりするために、(結果とともに)変更の記録を提供出来るのです。

効果的で簡単な文書管理プロセスを作成し、管理しやすくする必要がある。

9.エンドユーザーをトレーニングすること

セキュリスペシャリストが幾ら対策をしても不十分です。実際に使う利用者(エンドユーザー)がマルウェアについての知識を習得し、セキュリティについて訓練する事が、マルウェアによる攻撃を特定する事を目的とするだけでなく、エンドユーザーが自分でウイルス感染を防止したり緩和したりできるように訓練する必要が有ります。
ランサムウェアが公になった場合に、社内放送でメールの添付ファイルなどについての注意を促すのと同様です。

10.リスク管理アセスメント

リスクアセスメントおよびリスク管理プロセスの目的は、内部および外部の脅威と、それに影響を受ける機器およびサービスを特定し潜在的な影響を分析することにあります。リスクアセスメントの管理には、データ評価およびリスクの優先順位付け、リスクを軽減する為の最善の行動計画を立てる必要がある。

参考資料・参考文献:10 ways to protect your Windows computers against ransomware – TechRepublic

11.管理権限をオフ

Microsoft製品の脆弱性の94%は管理者権限をオフにすることで回避可能であることが判明しまた。
セキュリティ関連企業の調査によると、Windowsに関する脆弱性の大部分はOSやアプリケーションの管理者権限を編集することで回避出来る。

2016年に発見されたMicrosoft製品に関連する脆弱性は530件、その94%は管理者権限を除外することで軽減する事が可能だったと指摘したのはセキュリティ関連企業のAvecto。2015年時点は85%で、1年間で9ポイント上昇。

Microsoft製のブラウザに関する場合に顕著であり、Internet Explorer(IE)またはEdgeに関連する問題の100%が管理者権限の編集によって回避が可能な状態になっていた。2015年には238件が確認されていたIE 6からIE 11に関する脆弱性でしたが、2016年時点では109件と大きく減少しているのは評価すべき点である。

AvectoのCEOのマーク・オースティン氏は、「今回発表された数値は、昨今の攻撃に対してユーザーが被害を和らげる際に大きなインパクトを持つものになるでしょう。もはや時代は変わっています。管理者権限をオフにし、アプリケーションの制御を行うことはもう難しいことではありません」。

Windows 10で発見された脆弱性は395件で、ほかの全てのOSを通じて最多だった。これは、Windows 8とWindows 8.1がそれぞれ265件だったのに対し、46%も多い数値。Avectoは、Windows 10で発見した問題のうち、93%は管理者権限の編集によって軽減が可能。

Microsoft Office関連でも同様の問題がある。2014年は20件だった問題が2015年には62件に増加、2016年には79件に増加。この問題は、Office 2010、Office 2013、Office 2016に関するものとなっているのですが、管理権限を編集すると古いバージョンのOfficeは99%が、Office 2016であれば100%の問題が管理者権限の編集によって回避可能だった。(ただしOffice 365は含まれず)

Windows Serverでは、Windows Server 2008、2012、2016で合計319件の問題があり、90%が同様の方法で回避することが可能。

アンチウイルスソフトなどと平行して実施することが効果的である。管理者権限の編集で脆弱性の出現を防止しつつ、アンチウイルスソフトで攻撃を探知して対応するという二重の方法を採ることが重要であると。

セキュリティ会社なのでセキュリティソフトを売りたいだけとも見えたけどね。Windows純正のセキュリティソフトを有効にして置くだけでもいいと思う。心配な方は他社製ソフトを選択すると良いかも知れない。

参考資料・参考文献:94% of Microsoft vulnerabilities can be easily mitigated | Computerworld

Posted by shoutan