Symantec Endpoint Protection
と Symantec Endpoint Security によるランサムウェアの緩和と保護

ランサムウェアとは何か

ランサムウェアとは、ドキュメントを暗号化して使用不可にし、コンピュータの他の部分は引き続きアクセス可能な状態にする種類のマルウェアです。ランサムウェアの攻撃者は、被害者に特定の支払い方法で身代金を支払わせようとします。たとえ支払われたとしても、被害者にデータへのアクセスを許可するかどうかは定かではありません。
標的型ランサムウェアは、元のランサムウェア攻撃よりも複雑で、その被害は最初の感染だけにとどまりません。攻撃者は、以下のような配布方法を利用して、被害者の組織から金銭を脅し取るさらなる方法を見つけ出しています。
  • フィッシング
    : 業務上のやりとりを装って従業員に送信される電子メール。
  • マルバタイジング
    : メディアの Web サイトを侵害し、ソフトウェアの更新に見せかけた SocGholish と呼ばれる JavaScript ベースのフレームワークが含まれる悪質な広告を配信します。
  • 脆弱性エクスプロイト
    : 公開されているサーバーで実行されている脆弱なソフトウェアを悪用します。
  • 2 次感染
    : 既存のボットネットを利用して、被害者のネットワークへの足掛かりを得ます。
  • セキュリティが不十分なサービス
    : セキュリティが不十分な RDP サービスを通じた組織への攻撃。漏洩した資格情報や脆弱な資格情報が利用されます。

つの Symantec Endpoint Protection Manager
または Symantec Endpoint Security を使用してランサムウェアから保護

標的型ランサムウェアの攻撃は、大きく分けて、初期の侵害、権限の昇格と資格情報の盗用、組織内部での攻撃/感染拡大、バックアップの暗号化と削除というフェーズに分けられます。最善の防御策は、多くの種類の攻撃を遮断し、ほとんどのサイバー犯罪グループがセキュリティの優先度を特定するために使っている攻撃チェーンを把握することです。残念ながら、駆除ツールではランサムウェアの復号ができません。
つの Symantec Endpoint Protection Manager
または Symantec Endpoint Security で、以下の機能を配備して有効にしてください。一部の機能はデフォルトで有効になっています。
機能
Symantec Endpoint Protection
Symantec Endpoint Security
ファイルベースの保護
シマンテック社では、次の種類のファイルを検疫します: Ransom.Maze、Ransom.Sodinokibi、および Backdoor.Cobalt
ウイルスとスパイウェアの対策はデフォルトで有効になっています。
クライアントコンピュータに対するウイルスとスパイウェアの攻撃の防止と処理
マルウェア対策ポリシーはデフォルトで有効になっています。
SONAR
SONAR の動作ベースの保護は、マルウェアに対するもう 1 つの有効な防御方法です。SONAR は、CryptoLocker のようなランサムウェアによる二重の実行可能ファイル名の実行を阻止します。
[ウイルスとスパイウェアの対策]ポリシーで、
[SONAR]
>
[SONAR を有効にする]
をクリックします (デフォルトで有効)
SONAR の管理
マルウェア対策ポリシーで、
[動作分析を有効にする (Enable behavioral analysis)]
をクリックします (デフォルトで有効)
ダウンロードインサイトまたは集中保護
Symantec Insight を変更し、シマンテック社の顧客ベースで安全であることが確認されていないファイルを検疫します。
ダウンロードインサイトは、デフォルトの
[ウイルスとスパイウェア - 高レベルセキュリティ]
ポリシーに含まれています
ダウンロードインサイトは常に有効になっており、
集中保護
ポリシーに含まれています。集中保護の設定を変更するには、以下を参照してください。
侵入防止システム (IPS)
  • IPS は従来のウイルス定義ファイルのみでは阻止できない脅威を阻止することができます。IPS は、ドライブバイダウンロードに対する最適な防御方法です。ドライブバイダウンロードは、意図せずインターネットからダウンロードされたソフトウェアです。攻撃者は、多くの場合、ドライブバイダウンロードによって CryptoLocker のような Web ベースの攻撃の配布に悪用キットを使用します。
  • 場合によっては、IPS はコマンドアンドコントロール (C&C) 通信を中断してファイルの暗号化を遮断できます。C&C サーバーは、攻撃者やサイバー犯罪者によって制御されているコンピュータです。マルウェアによって危険にさらされたシステムにコマンドを送信し、標的のネットワークから盗まれたデータを受信するために使われます。
  • URL 評価
    は、Web ページの評価スコアに基づいて Web の脅威を防止します。
    [URL 評価を有効にする]
    オプションを使用して、評価スコアが特定のしきい値を下回る Web ページを遮断できます。(14.3 RU1 以降)
ネットワーク侵入防止とブラウザ侵入防止の有効化
URL 評価はデフォルトで有効になっています。
侵入防止の開始
URL 評価はデフォルトで有効になっていません。
PDF ファイルとスクリプトの遮断
[例外ポリシー]で、
[Windows の例外]
>
[ファイルアクセス]
をクリックします。
[許可リスト]と[拒否リスト]を使って、既知の不良ファイルおよびドメインの影響を防ぎます。
[設定]
で、
[拒否リスト]および[許可リスト]
をクリックします。
Web アプリケーションフレームワーク、Web ブラウザおよび Web ブラウザプラグインの最新のパッチをダウンロードする。
  1. アプリケーションとデバイス制御を使って、Local や LocalLow などのユーザープロファイルディレクトリでアプリケーションが実行されるのを防ぎます。ランサムウェアのアプリケーションは、Local\Temp\Low 以外の多くのディレクトリに自身をインストールします。
  2. Endpoint Detection and Response (EDR) を使ってランサムウェアの動作を伴うファイルを識別します。
    1. 電子メールを介して伝送される MS Office ファイルに含まれるマクロスクリプトを無効にします。
    2. 検出されたエンドポイントを右クリックし、
      [隔離 (Isolate)]
      を選択します。コンソールからエンドポイントを隔離して再参加させるには、Symantec Endpoint Protection Manager で、ホストインテグリティポリシーに割り当てられたファイアウォール検疫ポリシーが必要です。
  • 検出スキャン - クラウドコンソールでは、お使いの環境にあるファイル、アプリケーション、および実行可能ファイルを包括的に表示できます。これらの検出済みアイテムに関連付けられているリスク、脆弱性、評価、ソース、その他の特性に関する情報を確認できます。
  • EDR が有効な場合に検出済みアイテムを使用します。SES の検出エージェントは SEP の管理外の検出に似ていますが、このエージェントは個々のファイルとアプリケーションについて、はるかに多くの情報を提供します。
  • アプリケーション制御は、お使いの環境で望ましくないアプリケーションや権限がないアプリケーションの使用を制御および管理します。SES のアプリケーション制御は、SEP のものとは異なる機能です。
    アプリケーション制御の開始
    • Symantec Agent 14.3 RU1 以降では、アプリケーション分離とアプリケーション制御を使用しないエンドポイントには動作分離を使用します。動作アプリケーション分離ポリシーでは、信頼できるアプリケーションによって実行される可能性がある疑わしい動作の処理方法を識別します。新しい動作シグネチャまたは既存の動作シグネチャがポリシーで利用可能になると、クラウドコンソールに警告が表示され、ポリシー内のメッセージを取得します。その動作がファイルに対する攻撃の結果であるかどうかを判断し、必要な処理を指定します。
Symantec Endpoint Security Complete の一部
Web とクラウドのアクセス保護
と Web セキュリティ サービス
Web とクラウドのアクセス保護
とセキュア接続の設定を使うと、企業ネットワーク、自宅、または外出先のどこからでも、エンドポイントを Symantec Web Security Service (WSS)と統合できます。NTR によって、クライアント上のインターネットトラフィックは Symantec WSS にリダイレクトされ、WSS ポリシーに基づいて許可または遮断されます。
メモリエクスプロイト緩和機能
JBoss や Apache Web Server など、パッチが適用されていないソフトウェアに存在する既知の脆弱性を攻撃者による悪用から保護します。
AMSI およびファイルレススキャン
サードパーティのアプリケーション開発者は、動的なスクリプトベースのマルウェアや従来とは異なるサイバー攻撃から顧客を保護することができます。サードパーティアプリケーションは、Windows AMSI インターフェースを呼び出して、ユーザーが指定するスクリプトのスキャンを要求します。これは、Symantec Endpoint Protection クライアントにルーティングされます。クライアントは、スクリプトの動作が悪意のあるものかどうかを示す判定で応答します。動作が悪意のあるものでない場合、スクリプトの実行が進みます。スクリプトの動作が悪意のあるものである場合、アプリケーションはそれを実行しません。クライアントでは、[検出結果]ダイアログボックスに「アクセス拒否」のステータスが表示されます。サードパーティスクリプトの例には、Windows PowerShell、JavaScript、VBScript などがあります。Auto-Protect が有効になっている必要があります。この機能は、Windows 10 以降のコンピュータで動作します。
14.3 以降。
利用できません。
Endpoint Detection and Response (EDR)
EDR ではファイルよりも動作に焦点を当てており、スピアフィッシングや Living-off-the-Land ツールの使用に対する防御を強化できます。たとえば、顧客の環境で通常 Word から PowerShell を起動しない場合は、この動作を遮断モードにする必要があります。EDR の UI を使用すると、顧客は一般的で許可すべき動作、確認されているが注意すべき動作、一般的でなく遮断すべき動作を簡単に把握できます。また、インシデント警告に関する調査や対応の一環として、セキュリティギャップへのリアクティブな対処が可能です。インシデント警告には、違反の一部として検出されたすべての動作が表示され、インシデントの詳細ページから特定の動作をすぐに遮断モードに設定する機能があります。
AI ベースの保護
シマンテック社のターゲット攻撃クラウド分析では、高度な機械学習を活用してターゲット攻撃に関連する活動のパターンを特定します。
Symantec Endpoint Security Complete の一部。
監査ツールを使って、ランサムウェアが拡散する前に、企業ネットワーク内外のエンドポイントに関する詳細情報を得ることができます。
  • クライアントが、疑わしいファイルのリスクが高いか、または非常に高いことを検出すると、そのファイルは
    [マイタスク (My Tasks)]
    タブに 90 日間表示され、ユーザーが処理できます。
  • デバイスが悪質なトラフィックを生成するファイルを検出すると、そのファイルは
    [マイタスク (My Tasks)]
    タブに 90 日間表示され、ユーザーが処理できます。
  • 誤検知をテストするには、アプリケーションが実行されている状態で検出を監査できるように、メモリエクスプロイト緩和機能の動作を変更します。
  • Playbook は、環境のデバイスを管理および保護できるようにする事前設定されたワークフローです。

ランサムウェアを緩和するためのベストプラクティス

Hardening Your Environment Against Ransomware
ランサムウェアの感染を防ぐには、SEP または SES の保護を有効にするだけでなく、以下の手順に従います。
手順
説明
1. ローカル環境の保護
  1. PowerShell が最新バージョン
    であり、ログ記録が有効になっていることを確認します。
  2. RDP サービスへのアクセスを制限します。
    特定の既知の IP アドレスからの RDP のみを許可し、多要素認証を使っていることを確認します。ファイル サーバー リソース マネージャー (FSRM) を使って、ユーザーの書き込みアクセス権が必要なファイル共有に既知のランサムウェアの拡張子を書き込む機能をロックアウトします。
  3. 社外の第三者への通知を考慮する計画を作成します
    。FBI や他の法執行機関など、必要な組織に正しい通知が確実に届くように、確認するための計画を立ててください。
  4. すべての重要な管理情報のハードコピーとアーカイブされたソフトコピーが入った「非常用バッグ」を用意します
    。セキュリティ侵害によってこの重要な情報を利用できなくなることを防ぐために、問題のトラブルシューティングに必要なハードウェアおよびソフトウェアと一緒に、それらの情報を非常用バッグに保管します。この情報をネットワーク上に保管すると、ネットワークファイルが暗号化された場合に役に立たなくなります。管理アカウントの使用状況について、適切な監査と制御を行います。管理者の資格情報の盗用を防ぐために、管理作業向けにワンタイムの資格情報を実装することもできます。
  5. 管理ツールの使用状況のプロファイルを作成します
    。これらのツールの多くは、攻撃者がネットワークを通じて検知されることなく組織内部での攻撃活動を行うために使用されます。少数のシステムで PsInfo/PsExec を使って管理者として実行した履歴があるユーザーアカウントはおそらく問題ありませんが、すべてのシステムで PsInfo/PsExec を実行しているサービスアカウントは疑わしいと考えられます。
2. 電子メールシステムの保護
  1. フィッシング攻撃中に資格情報が侵害されるのを防ぐために、2 要素認証 (2FA) を有効にします。
  2. 電子メールシステムのセキュリティアーキテクチャを強化
    して、エンドユーザーの受信箱に届くスパムの量を最小限に減らし、SPF の使用やフィッシング攻撃に対するその他の防御策など、電子メールシステムのベストプラクティスに従っていることを確認します。
3. バックアップの作成
定期的にクライアントとサーバーの両方でファイルをバックアップします。コンピュータがオフラインの時にバックアップを作成するか、ネットワークコンピュータとサーバーが書き込むことができないシステムを使用します。専用のバックアップソフトウェアがない場合は、リムーバブルメディアに重要なファイルをコピーします。その後、リムーバブルメディアを取り外してください。リムーバブルメディアを接続したままにしないでください。
  1. バックアップコピーのオフサイトストレージを実装します
    。週単位の完全バックアップと日単位の増分バックアップを少なくとも 4 週間保管できるオフサイトストレージを用意します。
  2. オンサイトのオフラインバックアップを実装します
    。ランサムウェアによって暗号化されないように、ネットワークに接続されていないバックアップを作成してください。削除処理は、脅威の拡散を防ぐためにシステムをネットワークから切り離した状態で行うのが最善の方法です。
  3. サーバーレベルのバックアップソリューションを検証してテストします。
    これはすでにディザスタリカバリのプロセスに含まれている必要があります。
  4. バックアップとバックアップデータベースをファイルレベルの権限で保護します。
    バックアップを暗号化されないようにしてください。
  5. 復元機能をテストします。
    復元機能がビジネスのニーズをサポートしていることを確認します。
パスワードやアクセス制御で制限して、マップ済みネットワークドライブをロックダウンする。書き込みアクセスが必須である場合を除いて、ネットワークドライブのファイルに読み取り専用アクセスを適用します。ユーザー権限を制限することによって、脅威が暗号化できるファイルが限定されます。

ランサムウェアに感染した場合にやるべきこと

ランサムウェアの駆除ツールはありません。ランサムウェアが暗号化したファイルを復号化できるセキュリティ製品はありません。そのため、クライアントコンピュータがランサムウェアに感染し、データが暗号化された場合、次のステップに従ってください。
  1. 身代金を支払わない。
    身代金を支払うことで、次の可能性があります。
    • コンピュータをロック解除したり、ファイルを復号するための方法を攻撃者が提供するという保証はありません。
    • 攻撃者は、身代金を他のユーザーに対してさらに攻撃を実行するための資金にします。
  2. ランサムウェアがアクセスできるネットワークドライブを攻撃する前に感染したコンピュータを隔離する。
  3. つの Symantec Endpoint Protection Manager
    または SES を使ってウイルス定義を更新し、クライアントコンピュータをスキャンする。
    新しいウイルス定義でランサムウェアを検出して修復できる可能性があります。
    つの Symantec Endpoint Protection Manager
    は、クライアントが管理下にあり、管理サーバーまたはクラウドコンソールに接続されている限り、ウイルス定義を自動的にそのクライアントにダウンロードします。
    • つの Symantec Endpoint Protection Manager
      で、
      [クライアント]
      をクリックし、グループを右クリックしてから、
      [グループでコマンドを実行]
      [コンテンツの更新とスキャン]
      の順にクリックします。
    • Symantec Endpoint Security で、
      [今すぐスキャン]
      コマンドを実行します。
      クライアントデバイスでのコマンドの実行
  4. クリーンインストールを使って再インストールする。
    暗号化されたファイルをバックアップから復元すると、復元したデータを取得できますが、攻撃の過程で他のマルウェアがすでにインストールされている可能性があります。
  5. シマンテックセキュリティレスポンスにマルウェアを提出する。
    悪質な電子メールや実行可能ファイルであることを識別できた場合、シマンテックセキュリティレスポンスにファイルを提出してください。これらのサンプルによって、シマンテック社は新しいシグネチャを作成し、ランサムウェアに対する防御を更新できます。