ランサムウェアの対策方法

データのバックアップ、ソフトウェアの定期的なアップデート、Zero Trustセキュリティの採用などは、ランサムウェアによるネットワークダウンを防ぐ有効な方法です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ランサムウェアを阻止するための主な戦略を確認する
  • ランサムウェアの攻撃を防ぐ方法を理解する
  • ランサムウェアの感染をブロックするために最適なネットワークセキュリティモデルを説明する

記事のリンクをコピーする

ランサムウェアの対策方法

ランサムウェアの脅威は増加の一途をたどりますが、ソフトウェアの定期的なアップデート、データの頻繁なバックアップ、ユーザーのメールセキュリティ教育など、優れたセキュリティ対策を実施することで、組織に影響を与える可能性を減らすことができます。

ランサムウェアは、悪意のあるソフトウェア(マルウェア)の一種であり、ファイルやデータをロックして身代金を要求します。これは通常、ファイルやデータを暗号化し、暗号化キーは攻撃者が保持することでこれを行います。ランサムウェアは、悪意のある電子メールから、脆弱性の悪用、他のマルウェアの感染に便乗するなど、さまざまな方法でネットワークに侵入します。

ランサムウェアがネットワークに侵入するのを100%防ぐ方法はありませんが、以下の手順を踏むことで、攻撃のリスクを大幅に軽減することができます。

ランサムウェアを防ぐ方法:6つのベストプラクティスのリスト

ソフトウェアの定期的なアップデートを実施する

ランサムウェアがネットワークに侵入し拡散する一般的な手口は、古いソフトウェアの脆弱性を悪用することです。「脆弱性」とは、誰かが悪意のある目的に利用することができるソフトウェアの欠陥のことです。脆弱性が発見されると、ソフトウェアベンダーは、ソフトウェアアップデートという形で、定期的にその修正プログラムを発行します。オペレーティングシステムやアプリケーションの定期的なアップデートを実施しないことは、家の玄関の鍵を開けっ放しにして、泥棒に入られるのを許してしまうようなものです。

例えば、2017年5月、ランサムウェア「WannaCry」 は、Microsoftが事前に脆弱性のパッチを発行していたにもかかわらず、脆弱性悪用ツール「EternalBlue」が利用されて20万台以上のコンピュータに拡散したことは有名な話です。

また、ランサムウェア攻撃は、ネットワーク内部に侵入すると、その脆弱性を利用して感染を拡大させます。例えば、ランサムウェア「Maze 」は、侵入するとネットワーク上に既に存在する脆弱性をスキャンして悪用し、その脆弱性を利用してできるだけ多くのマシンに感染させます。

ランサムウェアをはじめ、さまざまな種類の攻撃を防ぐために、できるだけ頻繁にソフトウェアをアップデートしましょう。こうすることで、脆弱性にパッチが適用され、犯罪者(ランサムウェアの攻撃者)が侵入できないように、玄関のドアの鍵を掛けなおすことができます。

二要素認証(2FA)の使用

多くのランサムウェア攻撃は、フィッシング活動から始まります。ユーザー資格情報(ユーザー名とパスワード)を取得し、その資格情報を使用してネットワーク内に侵入して移動します。また、ランサムウェアの攻撃者は、既知のデフォルトの資格情報をそのまま使用しているサーバやネットワークを探し、アクセスを試みるケースもあります。(Mazeの攻撃は、この手法を使用しています)。

二要素認証(2FA)は、より安全なユーザー認証のアプローチです。2FAでは、ハードウェアトークンなどの本人だけが持つ追加要素をチェックします。この方式では、攻撃者がユーザー名とパスワードの組み合わせを盗むことに成功しても、ネットワークにアクセスすることはできません。

社内メールの安全性を確保する

ランサムウェア攻撃がデバイスやネットワークを侵害するために使用する手法は様々ですが、電子メールは現在も最も利用されている侵害方法の一つです。多くのランサムウェア攻撃は、フィッシング攻撃、標的型攻撃メール、悪意のある電子メールの添付ファイルに隠されたトロイの木馬から始まります。

電子メールのセキュリティには、次の2つの重要な領域があります:

  1. 信頼できない送信元からのメールや添付ファイルをフィルタリングする
  2. 危険性のあるメールのリンクをクリックしたり、添付ファイルをダウンロードしたり開いたりしないようにユーザー教育を実施する

エンドポイントセキュリティを導入する

エンドポイントセキュリティとは、ノートパソコン、デスクトップパソコン、タブレット、スマートフォンなどのデバイスを攻撃から守るためのプロセスを指します。エンドポイントセキュリティには、以下のようなものがあります:

  • マルウェア対策ソフトは、端末上のランサムウェアを検出し、感染した端末を隔離してマルウェアの拡散を防ぐことができます。また、一部のランサムウェア攻撃は、既存のマルウェア感染を介して拡大します。例えば、ランサムウェア「Ryuk」 は、多くの場合すでにマルウェア「TrickBot」に感染しているデバイスを経由してネットワークに侵入します。マルウェア対策は、このような感染をランサムウェアへとつながる前に駆除することができます。(しかし、ランサムウェアが起動してファイルやデータが暗号化されてしまった後では、マルウェア対策はほとんど効果がありません)
  • アプリケーション制御は、ランサムウェアが含まれている偽のアプリケーションや攻撃者に侵害されたアプリケーションをユーザーがインストールしてしまうことを阻止することができます。
  • ハードディスクの暗号化は、ランサムウェアの阻止に役立つものではありませんが、それでも不正な第三者によるデータの盗用を防ぐことができるため、エンドポイントセキュリティの重要な一部です。

エンドポイントセキュリティの詳細についてご覧ください。

ファイルやデータをバックアップする

ファイルやデータを定期的にバックアップすることは、ランサムウェアの攻撃に備えるためのベストプラクティスとしてよく知られています。多くの場合、組織は身代金を支払ってデータを復号化したり、ITインフラストラクチャを一から再構築する代わりに、バックアップからデータを復元することができます。

データのバックアップはランサムウェアを防ぐものではありませんが、ランサムウェアの攻撃から組織をより迅速に回復させることができます。ただし、バックアップ領域がネットワークの他の部分と区切られていない限り、同様に感染してしまう可能性があります。

Zero Trustモデルを使用する

多くの組織は、ネットワークを(堀に囲まれた城)のように考えています。中世において城への侵入者を堀が排除していたのと同じように、ファイアウォールや侵入防止システム(IPS)などのネットワークの境界を守る防御策は、攻撃者を排除するものです。

しかし、このような「城と堀」のようなアプローチでセキュリティを確保している組織は、ランサムウェア攻撃に対して非常に脆弱です。実際、攻撃者は定期的に、さまざまな方法で「堀」を突破することを可能にしており、一度侵入してしまえば、実質的にネットワーク全体を自由に感染させ、暗号化することができるのです。

ネットワークセキュリティに対するより優れたアプローチは、「城」の内側と外側の両方に脅威は存在すると仮定することです。この思想は、Zero Trustと呼ばれています。

Zero Trustのセキュリティモデルは、厳格なアクセス制御を維持し、ネットワーク境界内のユーザーやデバイスも含め、デフォルトではすべての人物や端末も信用しないというものです。Zero Trustでは、ユーザとデバイスの両方を継続的に監視し、定期的に再認証を行うため、感染が検出されるとすぐにネットワークとアプリケーションのアクセスを無効にすることで、ランサムウェアの感染拡大を阻止することができます。また、Zero Trustではアクセス制御を「最小権限」の原則に従っているため、ランサムウェアが権限を昇格させてネットワークを制御することを困難なものにしています。

Cloudflare Oneは、Zero TrustのNetwork as a Service(NaaS)プラットフォームです。セキュリティとネットワークサービスを組み合わせ、リモートユーザー、オフィス、データセンターを安全に接続します(Secure Access Service edge - SASEとして知られるモデルです)。

ランサムウェアの詳細については、さらに深く掘り下げた以下の記事をご覧ください。