Network×Network目次

スポンサードリンク
<< Windows11 セットアップ ネットワーク スキップ | TOP | Public DNS 一覧 >>

マルウェア ランサムウェア 違い

最近よく耳にするマルウェアやランサムウェア。
大企業が攻撃されたときニュースではこの言葉が躍っていますね。
ではマルウェアやランサムウェアとは何なのでしょうか。

◇マルウェアとは
悪意があるソフトウェアの総称
・ウィルス、ランサムウェア、トロイの木馬、ワーム、スパイウェアなど

◇ランサムウェアとは
マルウェアの一種で重要なデータを暗号化して身代金を要求する
(最近では暗号化せずに重要なデータを盗んで身代金を要求する
という現実世界の誘拐みたいな手口も多いとか)
ランサムウェアだけというよりもマルウェアといわれるような
悪意のあるソフトウェアと組み合わせて攻撃し、最終的には
ランサムウェアでとどめを刺すようなイメージですね。

では対策としてどのようなことを考えないといけないのでしょうか。
◇マルウェア(ランサムウェア)対策
1.入口対策
2.侵入されても影響範囲を広げない
3.侵入後の怪しい動きを検知
4.感染しても復旧できる仕組み
*.普段からの教育

@ 入口対策(最重要対策)
インターネットと社内の境目(入口)で感染を防ぐ
[メール対策(最大の侵入経路)]
・添付ファイルのサンドボックス実行
・マクロ付Officeファイルはブロック
・実行ファイルの遮断(.exe .js .isoなど)
・URLリライト・リアルタイム評価及び再評価
 →なぜ再評価が必要か:メール受信時は無害なサイトのURLでも
数時間後、数日後にマルウェア配布サイトへのリンクに変わっている
・なりすまし対策(SPF/DKIM/DMARC)
 →SPF:送信元IPの明言、DKIM:送信途中で改竄されていないか、
DMARC:SPF/DKIMが失敗したときの挙動を決めておく

[Web / インターネット対策]
・URLフィルタリング
 →アクセス先のURLを見て判断する仕組み
・カテゴリブロック
 →ジャンルごとまとめてブロック(アダルト、ギャンブル、マルウェアなど)
・不正ダウロード検知
 →ハッシュ値の確認、拡張子偽装など
・新規ドメインや評価未確定サイトの遮断

[VPN・リモートアクセス]
・MFA認証(多要素認証)の導入
・クライアント証明書のインストール
・接続後の通信制御(VPN接続後の利用できる範囲をなるべく絞る)
・VPN装置のOS最新バージョンアップ
 →VPNの技術が問題なのではなく機器の脆弱性が問題。セキュリティパッチ
などは必ず更新するようにする

A 侵入されても影響範囲を広げない
侵入された後の横展開を防ぐ(ネットワーク分離や権限制御など)
[ネットワーク分離]
クライアント / サーバ / 管理 / バックアップセグメントを分けて構築
内部の通信制御(east-west制御)
 →社内の通信だから安全ではなく必要な通信のみ許可するようにする。
 →基本的にはゼロトラストの考えで、何も信用しない
権限管理・管理者権限の常用禁止
 →ランサムは「管理者権限を取れたら勝ち」 のゲーム
PAMの導入
 →特権IDの管理(ドメイン管理者、サーバ管理者(root / Administrator)、
NW機器管理ID、クラウド管理者、バックアップ管理者など)

B 侵入後の怪しい動きを検知
入口対策でも100%防げないので、侵入後の被害を最小化する方法を考慮
[エンドポイント]
・EDR(Endpoint Detection and Response)
 →PCやサーバなど実際に人が利用する端末
 →端末内の動きを常に監視し、怪しければ検知・対応する仕組み
・挙動検知
 →短時間で複数ファイルの暗号化を実施、権限昇格などを繰り返している
などの怪しい動きをしている
・C2通信検知(Command & Control)
 →感染した端末が外のサーバと通信を実施して情報を送ったりファイルの
暗号化したりする

[ネットワーク]
・IDS / IPS
・DNSフィルタ
 →名前解決する際に危険なサイトへの接続は許可しない
・NDR(Network Detection and Response)
 →全体の通信を常時監視して怪しい動きを検知・対応する仕組み

[ログ統合]
・SIEM(Security Information and Event Management)
 →ログを一か所に集めて一元管理・分析などを実施
・管理ログ・VPNログ・通信ログ取得
 →感染はゼロにできないを前提として考慮する
 →感染しても調査できる仕組み

C 感染しても復旧できる仕組み
[バックアップについて]
・バックアップ戦略
 →何を(重要度)、どこに、どれくらいの頻度で、どれくらい保持するか、
誰が復旧できるか
 →3-2-1ルール(バックアップデータ×3、媒体数×2、1つは別の場所)
・オフライン / WORM
 →バックアップ媒体を必要なとき以外NWに接続しない
 →データを消せない、上書きできない仕組み
・バックアップNW分離
 →セグメントを分けて通信制御
・マルウェア感染しても身代金を払わない
 →犯人が調子にのる

[その他の仕組み]
・DLP(情報流出対策)
 →個人情報、企業情報、顧客情報、機密情報などの漏洩
・大量転送検知
・クラウド共有監視
 →社外共有を作成したり外部の人にリンクを公開
 →大量のファイルを共有

* 普段からの教育
・教育
・インシデント対応訓練
・感染時の初動
・連絡フロー

などなど昨今巷を騒がせているランサムウェア対策は何か一つをやるでは
不十分でいろいろ組み合わせて対策が必要になってきます。
実際にデータを暗号化されたり、盗まれて身代金を要求されてからでは
時すでに遅しとなります。セキュリティ対策は正しくやれば無駄になることは
ないのでお財布と相談した上でできることをキッチリとやっていきましょう!
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

この記事へのトラックバック