ランサムウェアとは
ランサムウェアはRansom(身代金)とSoftware(ソフトウェア)を
組み合わせた造語です。ソフトウェアを利用してファイルの暗号化を
行い(ファイルを閲覧不可状態)復元方法を提示する代わりに
身代金を請求する。
最近ではランサムウェアを簡単に作成できるRaaS(Ransomware as a Service)
など攻撃するためのツールを販売及びレンタルするような仕組みまで
普及してしまっている。
あとはノーウェアランサムもかなり普及している。
こちらは暗号化もせずにデータを盗んで公開すると脅す手法。
単純明快だが効果は抜群である。バックアップからデータを戻しても
盗られたデータは相手の手に落ちたままなので脅迫は続きます。
また暗号化を実施しないのでデータを保存しているサーバーの
負荷があがらず検知がしづらいという攻撃側のメリットなども大きい。
よくここまでいろんな方法が思いつくものですね。
攻める側も守る側もいたちごっこは続きそうです。
・マルウェア ランサムウェア 違い
・ネットワーク機器 ランサムウェア対策
スポンサードリンク
SMTP AUTH 廃止
SMTP AUTH 廃止
マイクロソフト社がセキュリティリスクの懸念から
Exchange OnlineにおけるSMTP AUTH(基本認証/Basic認証)の
廃止を決定しました。
そもそもSMTP AUTH認証とは何なのでしょうか。
どちらかというとBasic(ベーシック認証)と言ったほうが
馴染みがある人が多いかもしれません。
ベーシック認証は一般的にはユーザー名とパスワードで認証する
仕組みです。これは盗まれてしまうと簡単に使えてしまい最近では
この認証方式だけでは非常にリスクがあると言われています。
SMTP AUTHはメール送信時(SMTP利用時)にユーザー名とパスワードで
認証する仕組みです。
以下構成例では、FortiGateが自身のアラートメールをFortiAnalyzer
に送信します。その後、FortiAnalyzerが発報するアラートメールを
Exchange Online に転送し、メール送信を行います。
今回導入している Forti 製品には、単体で外部へ直接メール送信を
完結させる仕組みがないためこのような構成になっています。
◆構成例
Fortigate→FortiAnalyzer→Exchange Online→アラートメールの発砲
(指定したメールあてに送信)
◆FortiAnalyzerの設定情報(Exchange Onlineの認証情報)
SMTPサーバ名:SMTP-AUTH
メールサーバ:smtp.office365.com
SMTPサーバポート:587
認証を有効化:有効
Eメールアカウント:メール発砲する宛先(test@co.jp)
パスワード:Password
セキュアオプション:STARTTLS(SMTPを暗号化するオプション)
ここで記載のあるsmtp.office356.comにベーシック認証できなくなる
わけですね。めんどくさいけどセキュリティレベルを上げるためには
仕方がないことです。
◆対応策
ではどのような対応策があるのか見ていきます。
・OAuth 2.0
・SMTP Relay
・Forti社のメールサーバ利用
[OAuth 2.0]
OAuth 2.0は、ベーシック認証の代わりに推奨されている認証技術です。
従来のように ID やパスワードを相手側へ直接渡すのではなく、
有効期限付きの「トークン」を発行してアクセスさせる仕組みです。
このトークンには有効期限があり、アクセス可能な範囲を限定できます。
また、必要に応じて失効させることも可能なため、セキュリティレベルが
高いのが特徴です。さらに、二要素認証(MFA)にも対応しており、
より安全な認証方式として推奨されています。
[SMTP Relay]
SMTPリレーサーバを利用する。
この場合ベーシック認証ではなくIPアドレスなどでの制限となるため
Exchange OnlineのSMTP AUTHには引っかからない。
自社オンプレで構築する場合は結構な費用が発生するためクラウドの
サービスを利用するのがいい。
[Forti社メールサーバ利用]
Forti社がクラウド上に準備しているメールサーバとなります。
一番簡単だがドメインがfortinet社のものから変更できない。
サーバ名:notification.fortinet.net
用途:アラートメール/ログ通知送信
SMTPポート:通常 465 または 587
認証:不要(SMTP-AUTH 不要)
TLS:有効(暗号化通信)
上記3つのうちだとFortigateやFortiAnalyzerはOAuthに対応していない
ためSMTP RelayやForti社のメールサーバを利用することを
検討しなければならない。
◆対応期限
そこで問題はいつまでにこの対応が必要なのかということ。
2026年1月27日にマイクロソフト社から発表があったのですが、かなり
緩和されたロードマップとなっていました。
もともとは2026年春(3月か4月くらい)に完全終了だったのですが
2026年12月末までは利用できそうです。設定変更を実施することで
2027年後半までは普通に使えそうですね。
Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline
Exchange Team Blog
Microsoft Exchange Team Blog内容参照
TOP OF THE NETWORK×NETWORKマイクロソフト社がセキュリティリスクの懸念から
Exchange OnlineにおけるSMTP AUTH(基本認証/Basic認証)の
廃止を決定しました。
そもそもSMTP AUTH認証とは何なのでしょうか。
どちらかというとBasic(ベーシック認証)と言ったほうが
馴染みがある人が多いかもしれません。
ベーシック認証は一般的にはユーザー名とパスワードで認証する
仕組みです。これは盗まれてしまうと簡単に使えてしまい最近では
この認証方式だけでは非常にリスクがあると言われています。
SMTP AUTHはメール送信時(SMTP利用時)にユーザー名とパスワードで
認証する仕組みです。
以下構成例では、FortiGateが自身のアラートメールをFortiAnalyzer
に送信します。その後、FortiAnalyzerが発報するアラートメールを
Exchange Online に転送し、メール送信を行います。
今回導入している Forti 製品には、単体で外部へ直接メール送信を
完結させる仕組みがないためこのような構成になっています。
◆構成例
Fortigate→FortiAnalyzer→Exchange Online→アラートメールの発砲
(指定したメールあてに送信)
◆FortiAnalyzerの設定情報(Exchange Onlineの認証情報)
SMTPサーバ名:SMTP-AUTH
メールサーバ:smtp.office365.com
SMTPサーバポート:587
認証を有効化:有効
Eメールアカウント:メール発砲する宛先(test@co.jp)
パスワード:Password
セキュアオプション:STARTTLS(SMTPを暗号化するオプション)
ここで記載のあるsmtp.office356.comにベーシック認証できなくなる
わけですね。めんどくさいけどセキュリティレベルを上げるためには
仕方がないことです。
◆対応策
ではどのような対応策があるのか見ていきます。
・OAuth 2.0
・SMTP Relay
・Forti社のメールサーバ利用
[OAuth 2.0]
OAuth 2.0は、ベーシック認証の代わりに推奨されている認証技術です。
従来のように ID やパスワードを相手側へ直接渡すのではなく、
有効期限付きの「トークン」を発行してアクセスさせる仕組みです。
このトークンには有効期限があり、アクセス可能な範囲を限定できます。
また、必要に応じて失効させることも可能なため、セキュリティレベルが
高いのが特徴です。さらに、二要素認証(MFA)にも対応しており、
より安全な認証方式として推奨されています。
[SMTP Relay]
SMTPリレーサーバを利用する。
この場合ベーシック認証ではなくIPアドレスなどでの制限となるため
Exchange OnlineのSMTP AUTHには引っかからない。
自社オンプレで構築する場合は結構な費用が発生するためクラウドの
サービスを利用するのがいい。
[Forti社メールサーバ利用]
Forti社がクラウド上に準備しているメールサーバとなります。
一番簡単だがドメインがfortinet社のものから変更できない。
サーバ名:notification.fortinet.net
用途:アラートメール/ログ通知送信
SMTPポート:通常 465 または 587
認証:不要(SMTP-AUTH 不要)
TLS:有効(暗号化通信)
上記3つのうちだとFortigateやFortiAnalyzerはOAuthに対応していない
ためSMTP RelayやForti社のメールサーバを利用することを
検討しなければならない。
◆対応期限
そこで問題はいつまでにこの対応が必要なのかということ。
2026年1月27日にマイクロソフト社から発表があったのですが、かなり
緩和されたロードマップとなっていました。
もともとは2026年春(3月か4月くらい)に完全終了だったのですが
2026年12月末までは利用できそうです。設定変更を実施することで
2027年後半までは普通に使えそうですね。
Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline
Exchange Team Blog
Microsoft Exchange Team Blog内容参照
NETWORK×NETWORK
ネットワーク機器 ランサムウェア対策
ネットワーク機器 ランサムウェア対策
最近巷を騒がせているマルウェアの一種にランサムウェアが
あります。平たく言うと侵入した後、管理者権限を奪って
重要ファイルなどを暗号化したのちに身代金を要求する手口です。
単純ですが効果は抜群ですよね。
今一番多い侵入経路としてはメールやVPNなどでしょうか。
最近Fortinet社のFortiOS7.4系では一部OSからSSL-VPNが利用不可となり
FortiOS7.6系からは完全に廃止となっています。IPSEC VPNは
引き続き使えます。
IPSEC VPNがまだ多くのネットワーク機器で実装されていることを考えると
VPN自体は技術としてはまだまだ使えるのでしっかりと運用で
カバーしていくべきなのです。ただパッチを定期的に当てるのが面倒だったり
侵入されてから横移動しやすいというウィークポイントを持っているのも
事実です。ゼロトラストネットワークだと横移動しずらいのでセキュリティは
強固になるのですが導入費が跳ね上がります。
それでは既存の環境でどのような対策がとれるのか以下の観点から
考えていきたいと思います。
@ ファームウェアの更新
A 不要な接続の遮断
B 認証の強化
C アクセス制御(横展開防止)
D 資産管理の徹底
@ ファームウェアの更新
[目的]
既知の脆弱性を利用されないようにする(特にVPNまわり)
[対策]
・ベンダーセキュリティサイトの確認やメールの登録
・利用しているネットワーク機器に該当するパッチが出た場合は必然的に更新する
・重大度の高いパッチは優先して更新する
→CriticalやHigh
・サポート切れ機器は利用しない
・SSL-VPNは利用しない
[ポイント]
・作業前にバックアップ取得
・本番環境でパッチを当てるまえに検証環境で実施して、通信試験
・作業手順書、運用手順書などを作成して1回の作業で終わらせない
A 不要な接続の遮断
[目的]
攻撃される対象を極力少なくする
[対策]
・当たり前だが通信は必要なものに絞る
(以外となぜこのポートが空いてるの?って設定が入っている場合が多い)
・WAN側ポートはPING/TELNET/HTTPS接続など遮断しておく
・管理ポートに接続できる人を限定
[ポイント]
・設定、通信の定期的な棚卸しを運用で実施する
→必要がなくなったルールなどから侵入される
・SSL-VPN装置の撤去、使っていないVPN環境の撤去
→テレワーク時に導入したがオフィス回帰でもう利用していないなど
B 認証の強化
[目的]
管理権限を守る、奪われない(これを奪われると大体終わり)
[対策]
・デフォルト設定の排除
→admin/admin、administrator/password、cisco/ciscoなど安易なものにしない
・管理ポートの変更
・アカウントの管理
・MFA(二要素認証)の導入
[ポイント]
・接続できる管理者や方法などを限定的にする
・利用していないアカウントの削除
→退職者などのアカウントは残さない
→ユーザーやパスワードを定期的に変更する
・セキュリティ対策をしっかりする
→証明書などを導入することで簡単には接続させない
C アクセス制御
[目的]
侵入されても被害を広げない(横展開は絶対にブロック)
[対策]
・デフォルト設定は常にブロック
→FWなどは基本的に暗黙のDeny設定がはいるが通信は必要なもののみ許可する
・セグメント分離
→利用する環境ごとにセグメントは必ずわける。
・内部から外部の通信も極力しぼる
→C2攻撃などは侵入したあと外との通信を発生させるため
[ポイント]
・必要ないものは極力ネットワークにつながない
・ランサムウェアはバックアップデータを狙ったりするので
コールドバックアップなどで絶対に手の届かない場所で管理
→昔ワンビシって会社を利用していたことがあり決まった時間に
テープバックアップを遠隔地に運んで保管してくれるサービスがあった。
今思えばランサムにはかなり有効だよな。ちなみに今このワンビシは
株式会社NXワンビシアーカイブズという名前で日本通運ホールディングスの
完全子会社になっています
D 資産管理の徹底
[目的]
管理側が知らない機械を作らない
[対策]
・資産管理ツールの導入
→資産管理台帳を自動で作成(Excelなどで人が作成していると限界がくる)
・定期的な棚卸し
・ログの集中管理
[ポイント]
・資産管理ツールを導入して自動化ももちろん必須ですがなんだかんだ
人がみて確認するということも大事。知らない機械やルールが勝手に
部署ごとにあってそこから情報が洩れるということもありうる。
正直侵入や攻撃を100%防ぐのは無理です。これは断言できます。
ポイントは侵入されたあとどのような対策・対応ができるかに
かかっています。これは攻撃されてからでは遅いので普段から準備して
万全の対策を取っておく必要があります。
健康な時はわからないのですが病気になってからはじめて健康の大切が
わかります。企業だと一度情報漏洩すると信用を回復するのは並大抵の
ことではありません。高い、普段使わないならもったいないではなく
セキュリティ対策はお金を使ってでも事前にやっておくことをお勧めします。
TOP OF THE NETWORK×NETWORK最近巷を騒がせているマルウェアの一種にランサムウェアが
あります。平たく言うと侵入した後、管理者権限を奪って
重要ファイルなどを暗号化したのちに身代金を要求する手口です。
単純ですが効果は抜群ですよね。
今一番多い侵入経路としてはメールやVPNなどでしょうか。
最近Fortinet社のFortiOS7.4系では一部OSからSSL-VPNが利用不可となり
FortiOS7.6系からは完全に廃止となっています。IPSEC VPNは
引き続き使えます。
IPSEC VPNがまだ多くのネットワーク機器で実装されていることを考えると
VPN自体は技術としてはまだまだ使えるのでしっかりと運用で
カバーしていくべきなのです。ただパッチを定期的に当てるのが面倒だったり
侵入されてから横移動しやすいというウィークポイントを持っているのも
事実です。ゼロトラストネットワークだと横移動しずらいのでセキュリティは
強固になるのですが導入費が跳ね上がります。
それでは既存の環境でどのような対策がとれるのか以下の観点から
考えていきたいと思います。
@ ファームウェアの更新
A 不要な接続の遮断
B 認証の強化
C アクセス制御(横展開防止)
D 資産管理の徹底
@ ファームウェアの更新
[目的]
既知の脆弱性を利用されないようにする(特にVPNまわり)
[対策]
・ベンダーセキュリティサイトの確認やメールの登録
・利用しているネットワーク機器に該当するパッチが出た場合は必然的に更新する
・重大度の高いパッチは優先して更新する
→CriticalやHigh
・サポート切れ機器は利用しない
・SSL-VPNは利用しない
[ポイント]
・作業前にバックアップ取得
・本番環境でパッチを当てるまえに検証環境で実施して、通信試験
・作業手順書、運用手順書などを作成して1回の作業で終わらせない
A 不要な接続の遮断
[目的]
攻撃される対象を極力少なくする
[対策]
・当たり前だが通信は必要なものに絞る
(以外となぜこのポートが空いてるの?って設定が入っている場合が多い)
・WAN側ポートはPING/TELNET/HTTPS接続など遮断しておく
・管理ポートに接続できる人を限定
[ポイント]
・設定、通信の定期的な棚卸しを運用で実施する
→必要がなくなったルールなどから侵入される
・SSL-VPN装置の撤去、使っていないVPN環境の撤去
→テレワーク時に導入したがオフィス回帰でもう利用していないなど
B 認証の強化
[目的]
管理権限を守る、奪われない(これを奪われると大体終わり)
[対策]
・デフォルト設定の排除
→admin/admin、administrator/password、cisco/ciscoなど安易なものにしない
・管理ポートの変更
・アカウントの管理
・MFA(二要素認証)の導入
[ポイント]
・接続できる管理者や方法などを限定的にする
・利用していないアカウントの削除
→退職者などのアカウントは残さない
→ユーザーやパスワードを定期的に変更する
・セキュリティ対策をしっかりする
→証明書などを導入することで簡単には接続させない
C アクセス制御
[目的]
侵入されても被害を広げない(横展開は絶対にブロック)
[対策]
・デフォルト設定は常にブロック
→FWなどは基本的に暗黙のDeny設定がはいるが通信は必要なもののみ許可する
・セグメント分離
→利用する環境ごとにセグメントは必ずわける。
・内部から外部の通信も極力しぼる
→C2攻撃などは侵入したあと外との通信を発生させるため
[ポイント]
・必要ないものは極力ネットワークにつながない
・ランサムウェアはバックアップデータを狙ったりするので
コールドバックアップなどで絶対に手の届かない場所で管理
→昔ワンビシって会社を利用していたことがあり決まった時間に
テープバックアップを遠隔地に運んで保管してくれるサービスがあった。
今思えばランサムにはかなり有効だよな。ちなみに今このワンビシは
株式会社NXワンビシアーカイブズという名前で日本通運ホールディングスの
完全子会社になっています
D 資産管理の徹底
[目的]
管理側が知らない機械を作らない
[対策]
・資産管理ツールの導入
→資産管理台帳を自動で作成(Excelなどで人が作成していると限界がくる)
・定期的な棚卸し
・ログの集中管理
[ポイント]
・資産管理ツールを導入して自動化ももちろん必須ですがなんだかんだ
人がみて確認するということも大事。知らない機械やルールが勝手に
部署ごとにあってそこから情報が洩れるということもありうる。
正直侵入や攻撃を100%防ぐのは無理です。これは断言できます。
ポイントは侵入されたあとどのような対策・対応ができるかに
かかっています。これは攻撃されてからでは遅いので普段から準備して
万全の対策を取っておく必要があります。
健康な時はわからないのですが病気になってからはじめて健康の大切が
わかります。企業だと一度情報漏洩すると信用を回復するのは並大抵の
ことではありません。高い、普段使わないならもったいないではなく
セキュリティ対策はお金を使ってでも事前にやっておくことをお勧めします。
NETWORK×NETWORK
マルウェア ランサムウェア 違い
最近よく耳にするマルウェアやランサムウェア。
大企業が攻撃されたときニュースではこの言葉が躍っていますね。
ではマルウェアやランサムウェアとは何なのでしょうか。
◇マルウェアとは
悪意があるソフトウェアの総称
・ウィルス、ランサムウェア、トロイの木馬、ワーム、スパイウェアなど
◇ランサムウェアとは
マルウェアの一種で重要なデータを暗号化して身代金を要求する
(最近では暗号化せずに重要なデータを盗んで身代金を要求する
という現実世界の誘拐みたいな手口も多いとか)
ランサムウェアだけというよりもマルウェアといわれるような
悪意のあるソフトウェアと組み合わせて攻撃し、最終的には
ランサムウェアでとどめを刺すようなイメージですね。
では対策としてどのようなことを考えないといけないのでしょうか。
◇マルウェア(ランサムウェア)対策
1.入口対策
2.侵入されても影響範囲を広げない
3.侵入後の怪しい動きを検知
4.感染しても復旧できる仕組み
*.普段からの教育
@ 入口対策(最重要対策)
インターネットと社内の境目(入口)で感染を防ぐ
[メール対策(最大の侵入経路)]
・添付ファイルのサンドボックス実行
・マクロ付Officeファイルはブロック
・実行ファイルの遮断(.exe .js .isoなど)
・URLリライト・リアルタイム評価及び再評価
→なぜ再評価が必要か:メール受信時は無害なサイトのURLでも
数時間後、数日後にマルウェア配布サイトへのリンクに変わっている
・なりすまし対策(SPF/DKIM/DMARC)
→SPF:送信元IPの明言、DKIM:送信途中で改竄されていないか、
DMARC:SPF/DKIMが失敗したときの挙動を決めておく
[Web / インターネット対策]
・URLフィルタリング
→アクセス先のURLを見て判断する仕組み
・カテゴリブロック
→ジャンルごとまとめてブロック(アダルト、ギャンブル、マルウェアなど)
・不正ダウロード検知
→ハッシュ値の確認、拡張子偽装など
・新規ドメインや評価未確定サイトの遮断
[VPN・リモートアクセス]
・MFA認証(多要素認証)の導入
・クライアント証明書のインストール
・接続後の通信制御(VPN接続後の利用できる範囲をなるべく絞る)
・VPN装置のOS最新バージョンアップ
→VPNの技術が問題なのではなく機器の脆弱性が問題。セキュリティパッチ
などは必ず更新するようにする
A 侵入されても影響範囲を広げない
侵入された後の横展開を防ぐ(ネットワーク分離や権限制御など)
[ネットワーク分離]
クライアント / サーバ / 管理 / バックアップセグメントを分けて構築
内部の通信制御(east-west制御)
→社内の通信だから安全ではなく必要な通信のみ許可するようにする。
→基本的にはゼロトラストの考えで、何も信用しない
権限管理・管理者権限の常用禁止
→ランサムは「管理者権限を取れたら勝ち」 のゲーム
PAMの導入
→特権IDの管理(ドメイン管理者、サーバ管理者(root / Administrator)、
NW機器管理ID、クラウド管理者、バックアップ管理者など)
B 侵入後の怪しい動きを検知
入口対策でも100%防げないので、侵入後の被害を最小化する方法を考慮
[エンドポイント]
・EDR(Endpoint Detection and Response)
→PCやサーバなど実際に人が利用する端末
→端末内の動きを常に監視し、怪しければ検知・対応する仕組み
・挙動検知
→短時間で複数ファイルの暗号化を実施、権限昇格などを繰り返している
などの怪しい動きをしている
・C2通信検知(Command & Control)
→感染した端末が外のサーバと通信を実施して情報を送ったりファイルの
暗号化したりする
[ネットワーク]
・IDS / IPS
・DNSフィルタ
→名前解決する際に危険なサイトへの接続は許可しない
・NDR(Network Detection and Response)
→全体の通信を常時監視して怪しい動きを検知・対応する仕組み
[ログ統合]
・SIEM(Security Information and Event Management)
→ログを一か所に集めて一元管理・分析などを実施
・管理ログ・VPNログ・通信ログ取得
→感染はゼロにできないを前提として考慮する
→感染しても調査できる仕組み
C 感染しても復旧できる仕組み
[バックアップについて]
・バックアップ戦略
→何を(重要度)、どこに、どれくらいの頻度で、どれくらい保持するか、
誰が復旧できるか
→3-2-1ルール(バックアップデータ×3、媒体数×2、1つは別の場所)
・オフライン / WORM
→バックアップ媒体を必要なとき以外NWに接続しない
→データを消せない、上書きできない仕組み
・バックアップNW分離
→セグメントを分けて通信制御
・マルウェア感染しても身代金を払わない
→犯人が調子にのる
[その他の仕組み]
・DLP(情報流出対策)
→個人情報、企業情報、顧客情報、機密情報などの漏洩
・大量転送検知
・クラウド共有監視
→社外共有を作成したり外部の人にリンクを公開
→大量のファイルを共有
* 普段からの教育
・教育
・インシデント対応訓練
・感染時の初動
・連絡フロー
などなど昨今巷を騒がせているランサムウェア対策は何か一つをやるでは
不十分でいろいろ組み合わせて対策が必要になってきます。
実際にデータを暗号化されたり、盗まれて身代金を要求されてからでは
時すでに遅しとなります。セキュリティ対策は正しくやれば無駄になることは
ないのでお財布と相談した上でできることをキッチリとやっていきましょう!
TOP OF THE NETWORK×NETWORK大企業が攻撃されたときニュースではこの言葉が躍っていますね。
ではマルウェアやランサムウェアとは何なのでしょうか。
◇マルウェアとは
悪意があるソフトウェアの総称
・ウィルス、ランサムウェア、トロイの木馬、ワーム、スパイウェアなど
◇ランサムウェアとは
マルウェアの一種で重要なデータを暗号化して身代金を要求する
(最近では暗号化せずに重要なデータを盗んで身代金を要求する
という現実世界の誘拐みたいな手口も多いとか)
ランサムウェアだけというよりもマルウェアといわれるような
悪意のあるソフトウェアと組み合わせて攻撃し、最終的には
ランサムウェアでとどめを刺すようなイメージですね。
では対策としてどのようなことを考えないといけないのでしょうか。
◇マルウェア(ランサムウェア)対策
1.入口対策
2.侵入されても影響範囲を広げない
3.侵入後の怪しい動きを検知
4.感染しても復旧できる仕組み
*.普段からの教育
@ 入口対策(最重要対策)
インターネットと社内の境目(入口)で感染を防ぐ
[メール対策(最大の侵入経路)]
・添付ファイルのサンドボックス実行
・マクロ付Officeファイルはブロック
・実行ファイルの遮断(.exe .js .isoなど)
・URLリライト・リアルタイム評価及び再評価
→なぜ再評価が必要か:メール受信時は無害なサイトのURLでも
数時間後、数日後にマルウェア配布サイトへのリンクに変わっている
・なりすまし対策(SPF/DKIM/DMARC)
→SPF:送信元IPの明言、DKIM:送信途中で改竄されていないか、
DMARC:SPF/DKIMが失敗したときの挙動を決めておく
[Web / インターネット対策]
・URLフィルタリング
→アクセス先のURLを見て判断する仕組み
・カテゴリブロック
→ジャンルごとまとめてブロック(アダルト、ギャンブル、マルウェアなど)
・不正ダウロード検知
→ハッシュ値の確認、拡張子偽装など
・新規ドメインや評価未確定サイトの遮断
[VPN・リモートアクセス]
・MFA認証(多要素認証)の導入
・クライアント証明書のインストール
・接続後の通信制御(VPN接続後の利用できる範囲をなるべく絞る)
・VPN装置のOS最新バージョンアップ
→VPNの技術が問題なのではなく機器の脆弱性が問題。セキュリティパッチ
などは必ず更新するようにする
A 侵入されても影響範囲を広げない
侵入された後の横展開を防ぐ(ネットワーク分離や権限制御など)
[ネットワーク分離]
クライアント / サーバ / 管理 / バックアップセグメントを分けて構築
内部の通信制御(east-west制御)
→社内の通信だから安全ではなく必要な通信のみ許可するようにする。
→基本的にはゼロトラストの考えで、何も信用しない
権限管理・管理者権限の常用禁止
→ランサムは「管理者権限を取れたら勝ち」 のゲーム
PAMの導入
→特権IDの管理(ドメイン管理者、サーバ管理者(root / Administrator)、
NW機器管理ID、クラウド管理者、バックアップ管理者など)
B 侵入後の怪しい動きを検知
入口対策でも100%防げないので、侵入後の被害を最小化する方法を考慮
[エンドポイント]
・EDR(Endpoint Detection and Response)
→PCやサーバなど実際に人が利用する端末
→端末内の動きを常に監視し、怪しければ検知・対応する仕組み
・挙動検知
→短時間で複数ファイルの暗号化を実施、権限昇格などを繰り返している
などの怪しい動きをしている
・C2通信検知(Command & Control)
→感染した端末が外のサーバと通信を実施して情報を送ったりファイルの
暗号化したりする
[ネットワーク]
・IDS / IPS
・DNSフィルタ
→名前解決する際に危険なサイトへの接続は許可しない
・NDR(Network Detection and Response)
→全体の通信を常時監視して怪しい動きを検知・対応する仕組み
[ログ統合]
・SIEM(Security Information and Event Management)
→ログを一か所に集めて一元管理・分析などを実施
・管理ログ・VPNログ・通信ログ取得
→感染はゼロにできないを前提として考慮する
→感染しても調査できる仕組み
C 感染しても復旧できる仕組み
[バックアップについて]
・バックアップ戦略
→何を(重要度)、どこに、どれくらいの頻度で、どれくらい保持するか、
誰が復旧できるか
→3-2-1ルール(バックアップデータ×3、媒体数×2、1つは別の場所)
・オフライン / WORM
→バックアップ媒体を必要なとき以外NWに接続しない
→データを消せない、上書きできない仕組み
・バックアップNW分離
→セグメントを分けて通信制御
・マルウェア感染しても身代金を払わない
→犯人が調子にのる
[その他の仕組み]
・DLP(情報流出対策)
→個人情報、企業情報、顧客情報、機密情報などの漏洩
・大量転送検知
・クラウド共有監視
→社外共有を作成したり外部の人にリンクを公開
→大量のファイルを共有
* 普段からの教育
・教育
・インシデント対応訓練
・感染時の初動
・連絡フロー
などなど昨今巷を騒がせているランサムウェア対策は何か一つをやるでは
不十分でいろいろ組み合わせて対策が必要になってきます。
実際にデータを暗号化されたり、盗まれて身代金を要求されてからでは
時すでに遅しとなります。セキュリティ対策は正しくやれば無駄になることは
ないのでお財布と相談した上でできることをキッチリとやっていきましょう!
NETWORK×NETWORK
