Comments
Description
Transcript
すぐ役立つ! 法人組織で行うべき 「ランサムウェア」対策
すぐ役立つ! 法人組織で行うべき 「ランサムウェア」対策 提供: トレンドマイクロ株式会社 Version1.1 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 目次 1 ランサ ムウ ェ ア 被 害最 新 概 況 ....................................................................... 3 2 ランサ ムウ ェ ア の 概 要 ................................................................................. 8 3 4 5 2.1 ランサ ムウ ェ ア の 脅 威内 容 ..................................................................... 8 2.2 ランサ ムウ ェ ア の 影 響と 被 害 ................................................................... 8 2.3 ランサ ムウ ェ ア の 種 類 ............................................................................ 9 2.4 ランサ ムウ ェ ア の 主な 感 染 経路 ............................................................. 12 法 人組 織 で行う べ きラ ン サ ムウ ェ ア 対 策 ....................................................... 14 3.1 ランサ ムウ ェ ア の 侵 入と 感 染を 防ぐ 対 策 の 考え 方 ..................................... 14 3.2 ランサ ムウ ェ アに よる ファ イル 暗号 化 のリ ス クを 抑 える 対策 .......................... 16 3.3 ランサ ムウ ェ アに よる ファ イル 暗号 化 被 害に 遭っ て し まった 場 合 ..................... 17 トレ ンド マイ ク ロ のラ ンサ ムウ ェ ア 対策 .......................................................... 19 4.1 W e b 経 由 の 感 染 対策 ....................................................................... 20 4.2 メー ル 経由 の 感 染 対策 ....................................................................... 21 4.3 エン ドポ イン ト で の感 染 対 策 ................................................................ 23 4.4 対 策ポイ ン ト別 トレ ン ド マイ クロ 製 品 で の対 応 ......................................... 25 Ap pen dix : 参 考情 報 ............................................................................. 36 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 2 1 ランサムウェア被害最新概況 「ランサムウェア」とは、感染した端末やデータを使用不能にし、それらを使用可能に戻 すことと引き換えに「身代金」を要求する不正プログラムです。「身代金要求型不正プロ グラム」とも呼ばれます。 これまでランサムウェアは、広くインターネットの個人利用者を狙うものとされてきました。 しかし 2015 年以降、特に法人利用者において被害が拡大しています。トレンドマイク ロのクラウド型セキュリティ技術基盤、「 Trend Micro Smart Protection Network(SPN)」の統計によれば、全世界 の法人利用者におけるランサムウェアの 検出台数は、2014 年から 2015 年にかけて約 2.2 倍となっています。ランサムウェア の脅威が世界的にも急速に拡大していることが伺い知れます。 図 1:全世界の法人利用者におけるランサムウェア検出台数推移 また、トレンドマイクロが国内の法人利用者から受けたランサムウェアによる感染被害報 告数は、2015 年は 650 件と、2014 年と比較して約 16.2 倍と急増しています。ラ ンサムウェアの脅威は既に日本国内でも危急の対策が必要なものとなっています。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 3 図:トレンドマイクロが日本の法人利用者から受けたランサムウェア被害報告数推移 この 2015 年以降に日本と世界で報道・公表された主なランサムウェア関連事例か ら、特に法人での被害に関する事例としては、以下があります。 公 表時 期 国 業種 事 例内 容 20 1 5 年 7 月 日本 商業施設 社 内 の PC 2 台 が ウイ ル ス 感 染 し 、 社 内 サ ー バ 内 の ファ イ ル が 閲 覧 で き なく な った( = 暗 号 化 型 ラ ン サ ム ウェ アに よる 被 害 ) 。 感 染 原 因 は不 審 なサ イ トへ の アク セ スと 推 定 ※ 国 内 法 人 で の ラ ン サ ム ウェ ア被 害 とし て は最 も 早 く公 表 さ れ た事 例 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 4 20 1 5 年 7 月 日本 N/ A 日 本 の 1 7 歳 の 少 年 が 海 外 の 不 正 サ イ トか ら ラ ン サ ム ウェ ア作 成 ツ ー ル を購 入 、 自 身 で ラ ン サ ム ウェ ア 20 1 5 年 1 1 月 を作 成 し 匿 名 掲 示 板 経 由 な どで 小 規 模 に拡 散 さ せ てい た。 少 年 は他 の 不 正 アク セ ス事 例 に より 逮 捕 さ れ たが 、ラ ン サ ム ウェ ア 拡 散 の 容 疑 で も 再 逮 捕 された そ の 後 2 0 1 5 年 1 1 月 に は、 北 海 道 の 1 4 歳 男 子 中 学 生 が 入 手 し た 別 の ラ ン サ ム ウェ ア作 成 ツ ー ル を L I N E 経 由 で 1 4 歳 女 子 中 学 生 に販 売 し て い た事 案 で 逮 捕 さ れ て い る ※ 国 内 の ラ ン サ ム ウェ ア 攻 撃 者 が 確 認 さ れ た事 例 。 また 1 7 歳 、1 4 歳 の 若 年 層 で あ っ ても ラ ン サ ム ウェ ア作 成 ツ ー ル を入 手 で きる こ と を示 す 事 例 20 1 5 年 8 月 日本 教育機関 ラ ン サ ム ウェ ア感 染 に より フ ァイ ル が 暗 号 化 さ れ た 。 ファ イ ル サ ー バ で も 同 様 の 被 害 が 発 生 し てい る こ と を確 認 ファ イ ル の アイ コ ン が 変 わ っ てい る こ と に職 員 が 気 付 い たこ とで 被 害 が 判 明 20 1 6 年 1 月 イ スラ エル 電力会社 職 員 の P C が ラ ン サ ム ウェ アに感 染 。 ネ ッ トワ ー ク 全 体 に広 が り多 数 の P C で 身 代 金 を 要 求 す る メ ッ セ ー ジが 表 示 さ れ た 結 果 的 に感 染 PC が 2 日 間 使 用 不 能 に なり業 務 に影響 ※ 重 要 なイ ン フラ 企 業 が ラ ン サ ム ウェ ア感 染 し 業 務 に影 響 し た事 例 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 5 20 1 6 年 2 月 米国 医療機関 病 院 内 の P C が ラ ン サ ム ウ ェ アに感 染 、メ ー ル サ ー バ も アク セ ス 不 能 と なった 全 シ ス テム を復 旧 さ せ る た め に、 日 本 円 で 1 9 0 万 円 を 支 払 った ※ ラ ン サ ム ウェ ア 被 害 に対 し 、身 代 金 を 支 払 った こ とが 公 表 さ れ た 初 め て の 事 例 20 1 6 年 1 月 英国 地方自治体 州 議 会 の コ ン ピ ュー タ シ ス テム が ラ ン サ ム ウェ アに 感 染 要 求 さ れ た身 代 金 は日 本 円 で 約 1 億 7 千 万 円 ( £ 1 0 0 万 ) と伝 えら れ てい る ※ 組 織 や 団 体 が ラ ン サ ム ウェ ア感 染 し た場 合 、 要 求 が 非 常 に 高 額 に なる 場 合 が あ る こ と を 示 す 事 例 20 1 6 年 3 月 ドイ ツ 医療機関 複 数 の 病 院 で ラ ン サ ム ウェ ア感 染 が 発 生 あ る 病 院 で は 情 報 シ ス テ ム にアク セ スで き なく なっ た 結 果 、ハイ リ スク の 外 科 手 術 が 延 期 さ れ た ※ ラ ン サ ム ウェ ア 感 染 が 人 命 に影 響 す る 可 能 性 が あ る こ とを 示 す 事 例 別 の 病 院 で は 、メ ー ル 経 由 で ラ ン サ ム ウェ ア に感 染 し たが 、サ ー バ 1 台 で 検 出 さ れ たタ イ ミ ン グ で ネ ッ ト ワー ク 内 の す べ ての サ ー バ ( 1 9 9 台 ) をシ ャッ トダ ウン し たため 、全 体 へ の 影 響 は なか っ た ※ 迅 速 な 対 応 が 影 響 を最 小 化 で きる こ と を示 す 事 例 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 6 20 1 6 年 3 月 日本 行政機関 図 書 館 の 事 務 用 パ ソコ ン が ラ ン サ ム ウェ アに 感 染 し 、パ ソコ ン 1 台 とデ ー タ 保 存 用 ハー ドデ ィ スク が 使 用 で き なく なった 正 規 サ イ ト 閲 覧 中 にラ ン サ ム ウェ ア感 染 し たと 推 定 ※ 正 規 サ イ ト汚 染 に よる 感 染 が 推 定 さ れ てい る 事 例 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 7 2 ランサムウェアの概要 ランサムウェアの特徴的な活動についてまとめます。 2.1 ランサムウェアの脅威内容 利用者は、スパムメールの添付ファイルや、Web 経由の攻撃により、ランサムウェアに感 染 感染したランサムウェアは、感染端末を強制的にロックしたり、各種データファイルを暗号 化して使用不能にするなどの活動を行う 端末やデータを感染前の状態に戻すことと引き換えに金銭の支払いを要求する「身代 金要求」画面を表示する 2.2 ランサムウェアの影響と被害 感染端末の有効な操作ができなくなる 感染端末内のファイルやネットワーク共有上のファイルが暗号化され、利用できなくなる ランサムウェアの駆除を行ってもファイルは暗号化されたまま残り、利用できないままとなる 端末や重要データが利用できなくなることで、結果的に企業において業務が停止するな どの被害が発生 要求された「身代金」を支払うことによる、金銭的な被害 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 8 2.3 ランサムウェアの種類 ランサムウェアは、主に感染端末自体を「人質」にする「端末ロック型ランサムウェア」 とデータを「人質」にする「暗号化型ランサムウェア」の 2 種に大別されます。 端末ロック型ランサムウェア 画面ロックやアプリケーションの強制終了などの手口で感染端末を操作不能に することで、「感染端末を人質」にするタイプのランサムウェアです。基本的にラン サムウェア自体が駆除できれば端末は操作可能になります。 警察などの法執行機関を詐称し、利用者の身に覚えのないインターネット上で の「不正行為」に対する罰金などの名目で金銭を要求するタイプを特に「ポリス ランサム」などとも呼ばれます。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 9 図 :ポリ スラ ン サム (「 T ROJ_REVE TO N 」 )の 「身 代金 要 求」 画面 表 示 例 暗号化型ランサムウェア 感染端末内のデータやネットワーク共有上のデータを暗号化し使用不能にする ことで、「データを人質」にするタイプのランサムウェアです。ランサムウェア自体を 駆除してもデータは暗号化されたまま残るため、被害が深刻化しやすい特徴が あります。また、データの暗号化が終わればランサムウェア自体の活動継続は必 要がないため、セキュリティベンダーなどの調査を免れるために自身のファイルを 自ら削除する痕跡消去の活動を行うものも多くなっています 。 当初の暗号化型ランサムウェアは暗号化キーやその生成ロジックを不正コード 内に持っていたため、検体解析により暗号を解読し、データを復元することが可 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 10 能な場合がありました。しかし、 2014 年に登場した「CryptoLocker」(検 出名「TROJ_CRYLOCK」など)以降、暗号化キーをインターネット上の不正 サイトから取得、保存する手法が常套化しました。暗号化キーを毎回変更しロ ーカルに持たないこの攻撃手法により、現在では暗号化されたデータを復号す ることは非常に困難になっています。 図 :暗 号 化 型ラ ン サ ムウ ェア (「 T ROJ_C RYP W ALL 」 ) の「 身代 金 要 求 」画 面表 示 例 また、2015 年に入り、ネットワーク共有上のデータを暗号化する手法が常套 化しました。この変化により、被害が感染端末だけに留まらなくなり、ファイルサ ーバ上の重要データが暗号化されてしまうなど法人利用者での被害が深刻化 しました。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 11 図 :共 有フ ァイ ル 暗号 化 活 動の 概 念図 被 害が 感 染 P C のみ に 止まら ず 、 ネッ トワ ーク 内 の重 要 データ も 暗号 化さ れ て しま う 2015 年 9 月には新たに「暗号化したファイルの内 容を外部に公開されたくなければ金 銭を支払え」といった新たな 恐喝手口のランサムウェア「 Ranso m_CR YPCHI M. A 」が 登場しており、今後も様々な活動の変化に注意が必要です。 2.4 ランサムウェアの主な感染経路 ランサムウェアも不正プログラムの一種であり、組織のネットワーク内に侵入する経路 については他の不正プログラムと変わることはあ りません。最終的には、スパムメール の添付ファイルとして、もしくは Web からダウンロードされるファイルとして、ネットワー ク内に侵入します。 スパムメール経由 不正プログラムを添付したスパムメール(マルウェアスパム)により侵入します。ランサムウ すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 12 ェア自体がメールの添付ファイルとして侵入する場合だけでなく、先に添付ファイルとして侵 入した別の不正プログラムにより外部サイトからダウンロードされて侵入する場合もありま す。2015 年以降、最終的にランサムウェアが侵入する攻撃において、マクロ型不正プロ グラムや不正な JavaScript(JS)ファイルが使用される事例も多くなっています。いず れの場合でも、メール受信者が添付ファイルを開かなければ通常は感染に至りません。 図 :ラ ン サ ムウ ェア を 拡 散さ せ るマ ル ウェ アス パ ム の例 Web 経由 Web 経由での侵入では、改ざんされた正規 Web サイト、不正広告などにより汚染さ れた正規サイトから脆弱性攻撃サイト(EK サイト)へ誘導され、最終的にランサムウェ アが侵入します。脆弱性攻撃サイトでは Flash、Java などインターネットで使用する複 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 13 数のアプリケーションの脆弱性を攻撃するため、1 つでもアップデートが行き届いていないア プリケーションがあると Web サイトにアクセスしただけで利用者が気付かないうちに感染す る危険があります。 図:ランサムウェアを拡散させる「正規サイト汚染」の概念図 3 法人組織で行うべきランサムウェア対策 組織で行うべきランサムウェア対策は、大きく 2 つの観点に分けられます。1 つは他の不 正プログラム同様にランサムウェアの侵入や感染を防ぐことです。そしてもう 1 つは、もし ランサムウェアがネットワ ーク内 の端 末 に感 染 してし まった場 合 でも、被 害 を最 小 限 に抑 えられるよう準備をしておくことです。 3.1 ランサムウェアの侵入と感染を防ぐ対策の考え方 ランサムウェアの侵入や感染を防ぐための対策は、他の不正プログラムへの対策と大 きな違いはありません。単純なウイルス検出だけでなく、侵入経路や侵入後の挙動 に着目した対策が必要です。 多層防御の導入 現在の不正プログラム対策の中で、不正プログラムのファイル自体を検出するウイルス対 策の導入はあくまでも最低限の対策です。侵入経路となるゲートウェイやネットワーク上 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 14 での電子メールや Web 経由の攻撃への対策の導入、エンドポイントでの総合セキュリテ ィソフトの導入など、複数のポイントで複数の対策技術を利用する多層の防御が必要と なります。 図:ランサムウェアに対する多層防御の概念図 特に端末上でランサムウェア特有の挙動を捉える挙動監視技術や未知のプロ グラムの実行を制御する技術 (※)、侵入経路となるメールの添付ファイルに 対し、解析に基づいた警告が可能なサンドボックス技術は高い防御効果が確 認されています。 ※全ての未知のプログラムに対応しているわけではありません。 脆弱性対策 昨今の Web 経由攻撃の状況を考えた場合、端末における脆弱性対策が非常に重要 です。正規サイト汚染を発端とする Web 経由での侵入に関しては、ほぼすべてが脆弱 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 15 性を利用した攻撃となっています。既に修正プログラムが公開されている脆弱性を利用 する攻撃は、脆弱性を修正するアップデートを徹底させることで 100%防げます。また、 業務の都合などで一定期間アップデートが行えない場合やゼロデイ脆弱性の発生などの 場合に備え、脆弱性攻撃の影響を緩和できる技術的対策の導入も検討すべきでしょう。 従業員へのセキュリティ教育 技術的な防御策の前段階として、従業員へのセキュリティ教育も重要です。せっかく導 入した技術的対策も、運用が伴わなければ効果を発揮できません。また、メール経由の 攻撃に対しては、添付ファイルを安易に開かないような従業員へのセキュリティ教育を行 うことで無用な感染リスクを低減させることにつながります。 3.2 ランサムウェアによるファイル暗号化のリスクを抑える対策 どのような脅威に対しても 100% の防御は無い以上、ランサムウェアに対しても 「侵入を前提とした対策」を考えておくべきです。 定期的なバックアップの実施 ファイル暗号化の被害を低減する最も効果的な方法は「バックアップ」です。この機会に重 要なファイルサーバ上のファイルに対する定期的なバックアップのオペレーションを再確認して ください。また、Windows Server には共有フォルダのシャドウコピーを自動的に保存する 機能もありますので、これを有効に設定しておくことも有用です。 適切なユーザ権限による運用 ランサムウェアは感染端末のユーザ権限で活動を行います。この際、共有フォルダに対して ファイルの編集、書き込みが行えなければファイルの暗号化を行えません。重要情報を扱う フォルダに対しては、そもそもアクセスできる利用者の制限と不必要な編集/書き込みの権 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 16 限の制限を行うことで、重要ファイルの暗号化被害リスクを低減できます。この適切なアク セス制限の運用を行うためには、どのような情報がどこに保存されているかといった情報資 産の洗い出しや情報の重要度に応じたリスク評価などの継続的な情報資産の管理が重 要となります。このような利用者単位や利用者の属性(所属部署・権限レベル)での適 切なアクセス権の制限は内部犯行などの対策においても前提となるものであり、この機会 に見直しを行うことを推奨します。 3.3 ランサムウェアによるファイル暗号化被害に遭ってしまった場合 暗号化型ランサムウェアの被害者にとって、最大の関心事は「どうすれば暗号化さ れたファイルが元に戻るのか?」だと思います。ランサムウェアの対応ケースにおいて 必ず受ける質問として、「お金を払えば元に戻るのでしょうか?」があります。ランサ ムウェアによるファイル暗号化の被害に遭ってしまった場合の注意点を記しておきま す。 「身代金」は払わない ランサムウェアに対する「身代金支払い」については、以下の 3 つの理由でお勧めできませ ん。 1. 「身代金」を払ってもサイバー犯罪者が約束を守る保証はどこにもない 2. 身代金の支払いはサイバー犯罪者にさらなる攻撃のための資金を与えることになる 3. 身代金を支払ったことが理由で、別の犯罪や脅迫に巻き込まれる危険性もある 実社会における詐欺被害においては、一度被害に遭った人は同様の詐欺被害に 何度も遭いやすいという話があります。サイバー犯罪の被害も同様であり、ランサム ウェアの場合には、身代金を支払うことで攻撃者にとっての「顧客名簿」に載ってし まい、重ねて攻撃を受ける可能性すらあります。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 17 それでもなんとかデータを復活させたい場合に試すべき「最後の望み」 それでもなんとか暗号化されたファイルを復活させたい、という場合もあるでしょう。この時、 最後の望みとなるのが Windows の「シャドウコピー」です。前出の通り、Windows Server OS では共有フォルダについて設定可能な「シャドウコピー」機能があります。また、 Windows Vista 以降のクライアント向け Windows OS でも、「システムの復元」機能 で作成された復元ポイントから任意のファイルを復活させられる「以前のバージョン」機能が あります。この機能は Windows7、Windows10 ではデフォルトで有効になっているため、 意識的にバックアップをとっていなかった場合でも、暗号化されたファイルを以前のバージョン に復旧できる可能性があります。残念ながらこの機能は Windows8ではデフォルトでは 無効になっているため、以前に機能を有効にしていれば、同様に復旧できる可能性があり ます。 図:「システムの復元」機能の設定画面例 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 18 図:「以前のバージョン」機能の操作画面例 しかし、ランサムウェアの中にはこの復元ポイント自体を暗号化や破壊によって無 効化してしまうものもあります。その場合は、データを諦めるしか手はありません。そ うならないようにするためにも、バックアップを取っておくことはやはり重要です。 4 トレンドマイクロのランサムウェア対策 先述の通り、ランサムウェアの侵入や感染を防ぐための対策は、他の不正プログラムへの 対策と大きな違いはありません。単純なウイルス検出だけでなく、侵入経路や侵入後の 挙動に着目した多層防御による対策が必要です。 トレンドマイクロでは一般的な不正 プログラム対策に加え、特にランサムウェアの挙動に着目した、より対策効果の高い技 術も対策製品に実装しています。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 19 図:トレンドマイクロ製品によるランサムウェアに対する多層防御の概念図 4.1 Web 経由の感染対策 トレンドマイクロ製品では主に「Web レピュテーション(WRS)」、「ファイルレピ ュテーション(FRS)」技術により Web 経由の感染を防ぎます。 WRS: 危険度によるスコアリングに基づき、ランサムウェアが使用する不正サイトへのアクセ スをブロックします 正規サイト汚染によるランサムウェアの拡散の場合、汚染された正規サイトから誘 導される脆弱性攻撃サイトをブロックし、ランサムウェアの侵入を防御します すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 20 ブラウザ経由以外の HTTP 通信もすべて監視対象とすることで、ランサムウェア自 体の通信もブロックします → 特にランサムウェアによる不正サーバへのアクセスをブロックすることで、データの 暗号化が行われなくなるため、高い対策効果があります 図:WRS の概念図 FRS: Web 経由のダウンロードで侵入するランサムウェアを検出し、ブロックします 4.2 メール経由の感染対策 トレンドマイクロ製品では 「Email レピュテーション( ERS)」技術、「ファイルレピ ュテーション(FRS)」技術、サンドボックス技術 を使用し、メール経由の感染を 防ぎます ERS: 危険度によるスコアリングに基づき、ランサムウェアを拡散させるマルウェアスパムの 受信をブロックします すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 21 図:ERS の概念図 FRS: メールに添付されたランサムウェアをウイルス検出し、受信をブロックします サンドボックス: サンドボックスによる動的解析により、メールに添付されたランサムウェアを判定し、 受信をブロックします。 図:サンドボックスの概念図 ※全ての未知の添付ファイルに対応しているわけではありません。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 22 4.3 エンドポイントでの感染対策 トレンドマイクロ製品では 「ファイルレピュテーション( FRS)」、「挙動監視」、「未 知のプログラム実行制御(※)」などの技術を使用し、エンドポイント上でランサ ムウェアを検出し感染を防ぎます。 ※全ての未知のプログラムに対応しているわけではありません。 FRS: 最新の脅威情報を基に端末内に侵入したランサムウェアを検出します 図:エンドポイントでの FRS の概念図 挙動監視: ランサムウェアの行う不審な挙動を判定し警告、実行を停止させます ランサムウェアの特徴的な挙動についても個別にルール化し、高い対策効果を実現し ています すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 23 図:挙動監視の概念図 未知のプログラム実行制御: インターネットから入手されたファイルに対し、そのファイルの普及度から不審なプログラ ムである可能性が高いファイルの実行を警告します ※全ての未知のプログラムに対応しているわけではありません。 図:未知のプログラム実行制御の概念図 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 24 4.4 対策ポイント別トレンドマイクロ製品での対応 対策ポイントに対するトレンドマイクロ製品表 2016 年 4 月の情報をもとに作成されたものです。今後、仕様の変更、バージョンアップ等により、内 容の全部もしくは一部に変更が生 じる可能性があります。最新の製品情報は以下 URL を参照して下 さい。 最新の製品情 報 URL:http://www.trendmicro.co.jp/jp/business/products/index.ht ml すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 25 エンドポイントで感染をブロック ウイルスバスター™ コーポレートエディション 製品 URL:https://www.trendmicro.co.jp/jp/business/products/corp/index.html 以下の機能を有効にしてください。 – Web レピュテーション ① 管理コンソールを開きます。 ② [ネットワーク上のコンピュータ]または[クライアント]→[クライアント管理]をクリックします。 ③ クライアントもしくはドメインを選択し、[設定]→[Web レピュテーション設定]を選択し ます。 ④ [外部クライアント]または[内部クライアント]を選択し、[次の OS で Web レピュテー ションポリシーを有効にする]にチェックします。 ⑤ [全てに適用] あるいは[今後追加されるドメインにのみ適用] をクリックします。 – スマートスキャン この機能を有効にすることで、最新の脅威情報を用いたファイルレピュテーションによる検 知・ブロックが可能です。 ① 管理コンソールを開きます。 ② [ネットワーク上のコンピュータ]または[クライアント]→[クライアント管理]をクリックします。 ③ クライアントもしくはドメインを選択し、[設定]→[検索設定]→[検索方法]をクリックし ます。 ④ 検索方法設定内から、[スマートスキャン]を選択し、[保存]します。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 26 – 未知のプログラム実行制御 ① 管理コンソールを開きます。 ② [ネットワーク上のコンピュータ]または[クライアント]→[グローバルクライアント設定]をク リックします。 ③ [HTTP またはメールアプリケーションを介してダウンロードされた新たなプログラムを実行 する前に、ユーザにメッセージを表示する]にチェックします。 ④ [保存]ボタンをクリックし、設定を保存する。 – 挙動監視 ① 管理コンソールを開きます。 ② [ネットワーク上のコンピュータ]または[クライアント]→[クライアント管理]を選択します。 ③ 挙動監視を有効にしたいクライアントもしくはドメインを選択し、[設定]→[挙動監視 設定]を選択します。 ④ 挙動監視設定の画面で、[挙動監視を有効にする]または[既知の脅威と潜在的な 脅威に対する不正プログラム挙動ブロックを有効にする]にチェックを入れ、保存します。 ※コーポレートエディションのバージョンが 11.0 の場合、ランサムウェア対策として挙動 監視設定の画面で、[不正な暗号化や変更から文書を保護]と[ランサムウェアに関連 付けられていることの多いプロセスをブロック]にチェックを入れ、保存します。 ランサムウェア対策に効果的なウイルスバスター Corp.の設定 参考 URL:http://intkb.trendmicro.com/solution/ja -jp/1111420.aspx ウイルスバスター™ ビジネスセキュリティサービス 製品 URL:https://www.trendmicro.co.jp/jp/business/products/vbbss/index.html すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 27 以下の機能を有効にしてください。 – Web レピュテーション ① 管理コンソールへログインします。 ② 上部メニューから[デバイス] をクリックし、対象となるグループを選択して[ポリシーの 設定] をクリックします。 ③ 設定したい対象の OS を選択し、メニューから[Web レピュテーション]をクリックし、 [Web レピュテーションを有効にする]のチェックをオンにします。 ④ 下部にある[保存]ボタンをクリックします。 参考 URL: http://esupport.trendmicro.com/solution/ja-jp/1312541.aspx – スマートスキャン この機能を有効にすることで、最新の脅威情報を用いたファイルレピュテーションによる検 知・ブロックが可能です。 ① 管理コンソールへログインします。 ② 登録済みの製品/サービスより、 ウイルスバスタービジネスセキュリティサービスを確認し [コンソールを開く]をクリックします。 ③ 上部の[デバイス]メニューをクリックし、設定したいデバイスグループを選択後に[ポリシ ーの設定]をクリックします。 ④ ポリシーの設定画面が表示されます。検索方法のラジオボタンを選択し、[保存]ボタ ンをクリックします。 ⑤ 「成功しました」と上部に表示されることを確認し、数分後にクライアント側での設定が 反映されていることを確認します。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 28 参考 URL: http://esupport.trendmicro.com/solution/ja-jp/1112003.aspx – 未知のプログラム実行制御 ① 管理コンソールへログインします。 ② 上部のメニューより、[管理]→[グローバル設定]の順にクリックします。 ③ [グローバル設定]→[セキュリティ設定]タブ内にある[挙動監視]項目内にある 「HTTP またはメールアプリケーションを介してダウンロードされた新たなプログラムを実 行する前に、ユーザにメッセージを表示する」のチェックボックスにチェックを入れます。 ④ 下部にある[保存]ボタンをクリックし、設定を保存します。 参考 URL: http://esupport.trendmicro.com/solution/ja-jp/1111897.aspx – 挙動監視 ① 管理コンソールへログインします。 ② メニューから[デバイス] タブをクリックし、対象となるコンピュータグループを選択して[ポリ シーの設定] をクリックします。 ③ メニューから[挙動監視]をクリックします。 ④ [ランサムウェア対策]の項目にチェックを入れます。 ※ランサムウェア対策として挙動監視設定の画面で、[不正な暗号化や変更から文 書を保護]と[ランサムウェアに関連付けられていることの多いプロセスをブロック]にチェッ クを入れます。 ⑤ [保存]ボタンをクリックします。 参考 URL: http://esupport.trendmicro.com/solution/ja-jp/1112790.aspx すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 29 Trend Micro Deep Security™ 製品 URL:https://www.trendmicro.co.jp/jp/business/products/tmds/index.html 以下の機能を有効にしてください。 ※Tr end Mic ro Dee p Sec urity™ バージ ョ ン 10. 0 から 挙 動 監視 を 実 装予 定 です 。 – Web レピュテーション ① 管理コンソールへログインします。 ② トップページ上側のタブから、[コンピュータ]をクリックします。 ③ Web レピュテーション機能を有効にしたいサーバを選択します。 ④ 開いたコンピュータエディタで、左側のメニューから、[Web レピュテーション]をクリックし ます。 ⑤ [一般]タブの[Web レピュテーション]-[設定]を選択し、[オン]にして[保存]をクリック します。 – ファイルレピュテーション ① 管理コンソールへログインします。 ② トップページ上側のタブから、[コンピュータ]をクリックします。 ③ ファイルレピュテーション機能を有効にしたいサーバを選択します。 ④ 開いたコンピュータエディタで、左側のメニューから、[不正プログラム対策]をクリックしま す。 ⑤ [一般]タブの[不正プログラム対策]-[設定]を選択し、[オン]にして[保存]をクリックし ます。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 30 メール経由の感染をブロック Deep Discovery™ Email Inspector 製品 URL:https://www.trendmicro.co.jp/jp/business/products/ddei/index.html 以下の機能がデフォルトで有効になっています。ただし、メール経由の感染をブロック する場合は、MTA モードでの導入が必要となります。 – Web レピュテーション – スクリプトアナライザ – サンドボックス Trend Micro Cloud App Security™ 製品 URL:https://www.trendmicro.co.jp/jp/business/products/tmcas/index.html 以下の機能を有効にしてください。 – Web レピュテーション ① 管理コンソールにログインします。 ② [高度な脅威対策]→[追加]→[Exchange Online ポリシーの追加](※)を選 択します。 ※補足:「[Exchange Online ポリシーの追加]」は一例であり、SharePoint Online, OneDrive for Business, Box, Dropbox で同様の対策をおこないた い場合はそれぞれのポリシーを作成する必要があります。 ③ [Web レピュテーション]→[Web レピュテーションを有効にする]にチェックし、保存しま す。 – ファイルレピュテーション すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 31 デフォルトで有効になっております。 – サンドボックス ① 管理コンソールにログインします。 ② [高度な脅威対策]→[追加]→[Exchange Online ポリシーの追加](※)を選 択します。 ※補足:「[Exchange Online ポリシーの追加]」は一例であり、SharePoint Online, OneDrive for Business, Box, Dropbox で同様の対策をおこないた い場合はそれぞれのポリシーを作成する必要があります。 ③ [仮想アナライザ]→[仮想アナライザを有効にする]にチェックし、保存します。 InterScan Messaging Security Virtual Appliance™ 製品 URL:https://www.trendmicro.co.jp/jp/business/products/imsva/index.html 以下の機能を有効にしてください。 – Web レピュテーション ① 管理コンソールにログインします。 ② [ポリシー]→[ポリシーリスト]を選択します。 ③ [追加]→[その他]を選択します。 ④ [このルールの適用対象]を選択し、[次へ]を選択します。 ⑤ [Web レピュテーション設定]のリンクを開き、[セキュリティレベル]から選択し、[保存] します。 – ファイルレピュテーション すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 32 この機能を有効にすることで、最新の脅威情報を用いた FRS による検知・ブロックが可能 です。 ① 管理コンソールにログインします。 ② [ポリシー]→[検索方法]を選択します。 ③ [スマートスキャン]を選択し、保存します。 – E-mail レピュテーション ① 管理コンソールにログインします。 ② [IP フィルタ]→[メールレピュテーション]を選択します。 ③ [メールレピュテーションの設定]から[メールレピュテーションを有効にする]にチェックし、 保存します。 Cloud Edge™ 製品 URL:https://www.trendmicro.co.jp/jp/business/products/cloudedge/index.html 以下の機能を有効にしてください。 – E-mail レピュテーション ① 管理コンソールにログインします。 ② [ポリシー]→[ゲートウェイプロファイル]を選択します。 ③ 高/中/低の検出率を選択し、[スパムメール対策]を有効にします。 ④ [スパムメール対策]→[メールレピュテーション]を有効にします。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 33 Web 経由の感染をブロック Deep Discovery™ Inspector 製品 URL:https://www.trendmicro.co.jp/jp/business/products/ddi/index.html 以下の機能がデフォルトで有効になっております。 – Web レピュテーション – サンドボックス また、Web に加え、メール添付型の攻撃への対応も可能です。メールでの攻撃では、近年 Java Script 等をファイルとして添付する攻撃も増えており、メール添付でのスクリプトファイル をサンドボックスで解析するために、以下の設定を行ってください。 ① 管理コンソールにログインします。 ② [管理]→[仮想アナライザ]→[ファイル送信]→[追加]を選択します。 ③ [新規送信ルール]→[ファイルが一致する場合]内の[検出ルールに一致しない]を選択 します。 ④ [プロトコルが次のいずれかに一致する]内の IMAP、POP3、SMTP にチェックします。 ⑤ [ファイル拡張子]を選択し、JS、JSE、VBS、VBE を追加します。 ⑥ [優先度]を 2(※)に設定し、[保存]します。 ※デフォルト設定での推奨順位状況に合わせて変更してください。 InterScan Web Security Virtual Appliance™ 製品 URL:https://www.trendmicro.co.jp/jp/business/products/iwsva/index.html 以下の機能を有効にしてください。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 34 – Web レピュテーション ① 管理コンソールにログインします。 ② [HTTP]→[高度な脅威検索]→[ポリシー]を選択します。 ③ [Web レピュテーションルール]→[このポリシーで Web レピュテーションルールを使用す る]にチェックし、保存します。 – ファイルレピュテーション この機能を有効にすることで、最新の脅威情報を用いた FRS による検知・ブロ ックが可能です。 ① 管理コンソールにログインします。 ② [管理]→[一般設定]→[検索方法]を選択します。 ③ [スマートスキャン]を選択し、保存します。 Cloud Edge™ 製品 URL:https://www.trendmicro.co.jp/jp/business/products/cloudedge/index.html 以下の機能を有効にしてください。 – Web レピュテーション こちらの機能はデフォルトで有効になっています。 ① 管理コンソールにログインします。 ② [ポリシー]→[ゲートウェイプロファイル]を選択します。 ③ [Web レピュテーション]を有効にします。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 35 5 Appendix:参考情報 ランサムウェアも含め、不正プログラム感染の疑いがある場合、トレンドマイクロ 製品 を利用の方は以下の Q&A を参考に対処してください 不審なファイルを開いたが製品では検出していない場合: 入手した検体から順次、パターンファイルでの検出対応を進めていますが、検出未 対応のタイミングで不正プログラムが侵入する場合もあります。パターンファイルは常 に最新の状態でお使いいただけるよう設定ください。 また、お問い合わせ Web フォームをご使用いただくとスピーディな自動解析機能を ご利 用いただけます。お急 ぎのお客 さまは自動 解析機 能での調 査をご活 用 ください。 トレンドマイクロ Q&A ページ お問い合わせ Web フォーム/問い合わせ履歴フォームへのログイン、および使い 方について http://esupport.trendmicro.com/solution/ja-JP/1111780.aspx 不 審な ファ イ ルの 解 析 依 頼 方法 http://esupport.trendmicro.com/solution/ja JP/1306479.aspx PC 内に不正プログラムが残っていないか調べてほしい ランサムウェアの動作として、ファイル暗号化後などの動作後に自身を削除し本体のプロ グラムが見つからないことも多くありますが、調査ツールを使用して、疑わしいプログラム等 が残存していないかを確認することができます。なお、調査にはお問い合わせ Web フォー ムをご使用いただくとスピーディな自動解析機能をご利用いただけます。お急ぎのお客さま は自動解析機能での調査をご活用ください。 トレンドマイクロ Q&A ページ すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 36 お問い合わせ Web フォーム/問い合わせ履歴フォームへのログイン、および使い 方について http://esupport.trendmicro.com/solution/ja-JP/1111780.aspx 調査ログ収集用ウイルス対策ツールキット( ATTK)の使用方法につ いて http://esupport.trendmicro.com/solution/ja JP/1097836.aspx 本ホワイトペーパーは以下のブログ記事を元に最新のランサムウェア状況と対策をま とめたものです。併せてご覧ください トレン ドマ イク ロ セキュ リ テ ィブ ログ :「 すぐ 役 立 つ! 組 織で 行う べきラ ン サム ウ ェア 対策 」 http: //blo g.trend m ic ro .c o .jp/arc hives /127 27 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 37 TREND MICRO™ 本 書 に 関 す る 著 作 権 は 、 トレン ド マイ ク ロ 株 式 会 社 へ 独 占 的 に 帰 属 し ます 。 トレン ド マイ ク ロ 株 式 会 社 が 書 面 に よ り事 前 に承 諾 し てい る 場 合 を 除 き 、形 態 お よび 手 段 を問 わ ず 本 書 また はそ の 一 部 を 複 製 す る こ と は禁 じ ら れ てい ます 。 本 書 の 作 成 にあ たっ ては細 心 の 注 意 を払 ってい ます が 、 本 書 の 記 述 に 誤 りや 欠 落 が あ って も ト レン ドマイ ク ロ 株 式 会 社 は い か なる 責 任 も 負 わ ない も の とし ます 。 本 書 お よびそ の 記 述 内 容 は予 告 なし に変 更 さ れ る 場 合 が あ ります 。 T REND MIC R O 、T R E ND M IC R O 、 ウイ ル スバ スタ ー 、 ウイ ル スバ スタ ー O n ‐ L ine S c a n 、 PC - c illin 、In te rS c a n 、INT ER S C A N V IRUS WA L L 、I nte rS c a nWe b Ma na ge r 、 Inte rS c a n W e b S e c urity S uite 、P orta l Pr ote c t 、T re nd Mic ro Contr ol Ma na ge r 、T re nd M ic ro M ob ile S ec urity 、 VS A PI 、 トレン ド マイ ク ロ ・ プレミ アム ・ サ ポ ー ト・ プロ グ ラ ム 、 T re nd Pa rk 、T re nd L a bs 、T r e nd M ic ro Ne tw ork Virus Wa ll 、 Ne twork V irus W a ll Enf orc e r 、L EA K PRO O F 、T re nd Mic ro T hre a t Ma na ge me n t S oluti on 、T re nd Mic ro T hr e a t Ma na ge me nt S e rv ic e s 、T re nd Mic ro T hre a t M itiga tor 、T re nd Mic ro T hre a t D isc ov e ry A p p lia nc e 、T re nd Mic ro US B S e c urity 、Inte rS c a n We b S e c urity Vi rtua l A pp lia nc e 、Inte rS c a n Me s s a ging S e c urity V irtua l A p p lia nce 、T re nd Mic ro Re liab le Se c urity L ice ns e 、 T R S L 、 T re n d M ic ro S ma rt Pro t ec tion Ne t work 、 S P N 、 S MA RT S CA N 、 T re nd Mic ro Kids S af e ty 、T re nd Mic ro We b Se c urity 、T re n d Mic ro Colla b ora tio n S ec ur ity 、T re nd Mic ro Por ta b le S e c urity 、T re n d Mic ro S ta nd a rd W e b S e c urity 、T re nd Mic ro H os te d E ma il S ec urit y 、T re nd Mic ro D e ep S ec urity 、 ウイ ル スバ スタ ー ク ラ ウド 、 S ma r t S urf ing 、 スマー トスキ ャン 、 T re nd Mic ro Ins ta nt S e c ur ity 、T re nd Mic ro Ent e rp ris e S ec urity f or G a te wa y s 、 Ente rp ris e S ec urity f or G a te wa y s 、T re n d Mic ro E ma il S ec ur ity Pla tf or m 、 T re nd Mic ro V ulne r a b ility M a na ge me nt Se rv ic es 、T re nd Mi c ro PCI Sc a nni ng S e rv ic e 、 T re nd M ic ro T ita niu m A ntiVir us Plus 、S ma rt P rote c tion S e rv e r 、D e e p S e c urity 、ウイ ル スバ スタ ー ビ ジ ネ スセ キ ュリ ティ サ ー ビ ス、 S af e S y nc 、トレン ドマイ ク ロ オン ラ イ ン スト レ ー ジ S a fe S y nc 、T re n d Mic ro Inte rS c a n We b Ma na ge r S CC 、T re nd M ic ro NA S S e c urity 、T re nd Mic ro D a ta L os s Pre v e ntion 、 S ec urin g Y our J our ne y to the Cloud 、T re nd Mic ro オン ラ イ ン スキ ャン 、 T re nd Mic ro D e ep S ec urit y A nti V irus f or VD I 、T re nd Mic ro D e e p S ec urity Virtua l Pa tc h 、T re n d M ic ro T hre a t D is c ov e ry S of twa re A pp lia nc e 、S ECU R E CL O UD 、T re nd M ic ro V D I オ プシ ョン 、お まか せ 不 正 請 求 ク リ ー ン ナッ プ サ ー ビス 、 T re nd Mic ro D e ep S ec urit y あ ん し ん パ ッ ク 、こ ど も ー ど、 D e e p D isc ov e ry 、 T CS E、お まか せ イ ン ストー ル ・ バ ー ジョン アッ プ 、 トレン ド マイ ク ロ バ ッ テリ ー エイ ド、 T re nd Mic ro S af e L ock 、ト レン すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 38 ドマイ ク ロ セ ー フバ ッ ク アッ プ、 D e e p D is c ov e ry Ad v is or 、D e e p D is c ov e ry Ins p e c tor 、 T re nd Mic ro M ob ile Ap p R ep uta tio n 、あ ん し ん ブラ ウ ザ、 Je we lry B ox 、カ スタ ム デ ィ フェ ン ス、 Inte rS c a n M e ss a gin g S e c urity S uite Plus 、お も い で バ ッ ク アッ プサ ー ビス 、お まか せ ! スマホ お 探 し サ ポ ー ト、 プラ イ バ シ ー スキ ャナ ー 、保 険 & デ ジタ ル ラ イ フ サ ポ ー ト、 お まか せ ! 迷 惑 ソフ トク リ ー ン ナッ プサ ー ビス 、 S ma rt Pro te c tion Inte gra tio n Fra me w ork 、 Inte rS c a n W e b S e c urity a s a S e rv ice 、 Clie nt/ S e rv e r S uite Pre mi u m 、 Cloud Ed ge 、T re nd M ic ro R e mote Ma na ge r 、T h re a t D ef e ns e Ex pe rt 、 スマ ー ト プロ テク シ ョン プラ ッ ト フォ ー ム 、 Ne x t G e ne ra tio n T hre a t D e fe ns e 、セ キ ュリ ティ アッ トホ ー ム 、 セ キ ュリ ティ エ ブリ ウェ ア、 セ キ ュ リ ティ コ ン シ ェ ル ジュ、 T re nd Mic ro S ma rt H ome Ne t work 、 D r. Boos te r 、D r. C le a ne r 、T re nd Mic ro R e tro S c a n 、is 7 0 2 、デ ジ タ ル ラ イ フサ ポ ー ト プレミ アム 、 A ir サ ポ ー ト 、 C onne c te d T hre a t D ef e ns e 、お よ びラ イ トク リ ー ナー は、 トレン ド マ イクロ株式会社の登録商標です。 本 書 に 記 載 さ れ て い る 各 社 の 社 名 、 製 品 名 、お よ びサ ー ビ ス名 は 、各 社 の 商 標 また は 登 録 商 標 で す。 〒 1 5 1- 0 05 3 東 京 都 渋 谷 区 代 々 木 2 - 1- 1 新 宿 マイ ン ズ タ ワー 大 代 表 T EL : 0 3 - 53 3 4 - 3 60 0 FA X : 0 3- 5 3 34 - 40 0 8 http://www.trendmicro.co.jp TrendLabsTM フィ リ ピ ン ・ 米 国 に 本 部 を 置 き 、日 本 ・ 台 湾 ・ ドイ ツ ・ アイ ル ラ ン ド・ 中 国 ・ フラ ン ス・ イ ギリ ス・ ブラ ジル の 1 0 カ 国 1 2 ヵ 所 の 各 国 拠 点 と連 携 し て ソリ ュー シ ョン を提 供 し てい ます 。 数 カ 月 に お よぶ 厳 し い ト レ ー ニ ン グ を経 て 最 終 合 格 率 約 1 % の 難 関 を 突 破 し た、選 びぬ か れ た 1, 0 0 0 名 以 上 の 専 門 ス タ ッ フが 、 脅 威 の 解 析 や ソ リ ュー シ ョン へ の 反 映 な ど、 2 4 時 間 3 6 5 日 体 制 で イ ン タ ー ネ ッ トの 脅 威 動 向 を常 時 監 視 ・ 分 析 し てい ます 。 世 界 中 か ら 収 集 し た 脅 威 情 報 を、 各 種 レピ ュ テー シ ョン デ ー タ ベ ー スや 不 正 プ ロ グ ラ ム 、迷 惑 メ ー ル などの 各 種 パ タ ー ン ファ イ ル など 、グ ロ ー バ ル 共 通 の ソ リ ュー シ ョン に随 時 反 映 し てい ます 。 サ ポ ー トセ ン タ ー の 役 割 も 兼 ね る 研 究 所 とし て 、お 客 様 に満 足 い た だけ る サ ポ ー ト体 制 を整 備 し 、 よ り多 くの 脅 威 に 迅 速 に 対 応 し て い ます 。 すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 39 © 2016 Trend Micro Incorporated. All Rights Reserved. すぐ役立つ!法人組織で行うべき「ランサムウェア」対策 ページ 2016 /04 /04 40