ランサムウェアに対する保護のための8つの実証済みの慣行

今日では、ランサムウェアがさまざまな規模や業界の組織に直面する最も一般的な脅威です。実際、2021年にランサムウェア攻撃による被害は世界中で200億ドル以上に上ると推定されており、この数値は2031年に2650億ドルに達すると予想されています。

A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.

この投稿では、ランサムウェア感染に対する保護を確保し、サイバー侵害のリスクを軽減するのに役立つ8つの実証済みのベストプラクティスをリストアップして説明します。

ランサムウェア保護とは何ですか？

ランサムウェア保護は通常、組織がランサムウェアによる持続的な被害を防ぐために取るすべての手順をカバーします。包括的な対ランサムウェア計画には保護対策、モニタリング活動、回復戦略が含まれるべきです。

• ランサムウェア予防対策

ランサムウェアに対する防御が組織の主な焦点であるべきです。ランサムウェア攻撃を阻止することが、被害を和らげるよりも望ましいですし、感染データを回復しようとするよりも優れています。必要なプラクティスを実装し、適切なツールを使用することで、システムへのランサムウェアの浸入の可能性とその侵害の影響を最小限に抑えることができます。

• ランサムウェア検出対策

環境をマルウェアやランサムウェアから監視することは早期発見のために不可欠です。侵害を早期に特定すればするほど、それを停止する可能性が高くなります。ランサムウェアから保護するために実装できる検出ツールやベストプラクティスがいくつかあります。

• ランサムウェアの回復策

ランサムウェア攻撃が防御を突破する場合、データを暗号化したりロックしたりして通常の業務を中断する可能性があります。数多くのランサムウェアの回復策を用いることで、作業負荷の迅速な回復によってデータ損失とダウンタイムを最小限に抑えることができます。このプロセスは困難で時間がかかる場合があるため、以下にリストされている予防的な手法を適用する必要があります。

ランサムウェア保護のベストプラクティス

ランサムウェア保護の最適なアプローチは、多層化された戦略を採用することです。このモデルには、人員のトレーニング、エンドポイントの保護、必要な技術の導入、完全なインシデント対応計画の策定などが含まれます。

1. 従業員のトレーニング

今日、95%のサイバーセキュリティ問題が人為的エラーに起因し、全侵害の43%が組織内からの脅威であることがわかっています。1つのデバイスが企業全体の攻撃の発端になる可能性があります。

従業員にサイバーハイジーンについて教育することをお勧めします。さらに、定期的なトレーニングセッションを実施して、ユーザーが常に最新の脅威を認識し、必要な指示を実行していることを確認してください。

次の実践がランサムウェアからの保護と人為的なエラーによるインシデントの削減に不可欠です:

• 疑わしい送信元からのメールを開かないでください、または不審な添付ファイルをクリックしないでください。
• 不明なウェブサイトで見つかった広告バナーや安全でないリンクをクリックしないでください。
• 強力なパスワードを使用し、定期的に変更し、異なるアカウントで同じパスワードを使用しないでください。
• 二要素認証を有効にしてください。
• 個人情報を共有せず、または簡単にアクセス可能な場所に保存しないでください。
• 不明なUSBスティックを差し込まないでください。
• 公共のWi-Fiネットワークを使用しないでください。
• 組織のセキュリティポリシーに従い、悪意のある活動を迅速に報告してください。
• 従業員に手動の解決策やマルウェアの除去に役立つソフトウェアについての詳細情報を提供してください。

2. ネットワークセグメンテーションを実装する

ネットワークを保護し、ランサムウェアに対抗する最善の方法は、ネットワークセグメンテーションを実装することです。特にクラウドとハイブリッド環境ではこれが重要です。複数のサブネットとルーターを適切に接続することで、1つのデバイスが侵害されても、マルウェア感染が組織全体に広がるのを制限できます。

サポートされている認証方法を使用してIEEE 802.1X標準を検討し、ネットワークへのアクセス制御を設定します。これにより、ネットワークに接続するには署名された証明書と有効な資格情報が必要で、認証が通過し暗号化された接続が確立されます。アーキテクチャには3つの主要なコンポーネントがあります：クライアント、認証装置、認証サーバー。有線イーサネット接続の場合、RADIUSサーバーと802.1X対応スイッチがユーザーを認識するために必要です。802.1Xは有線およびWi-Fiネットワークに使用できます。

さらに、ネットワーク侵入テストを実行することが望ましいです。これにより、ネットワークにアクセスするために使用できる脆弱性を検出できます。発見した問題を修正して、ランサムウェアから保護し、潜在的な攻撃を防ぎます。

3. ルーターとポート設定を構成する

不適切に構成されたルーターは攻撃ベクトルとして使用される可能性があります。サイバー犯罪者は常にオープンポートをスキャンし、攻撃に利用できるポートを探します。未使用のポートへのアクセスをブロックし、標準ポート番号をカスタム番号に変更することで、ランサムウェアから自己保護することができます。

組織内のユーザーにインターネットアクセスを提供するルーターで、URLフィルタリングと広告ブロックを設定することもできます。現代のソフトウェアは、既知の悪意のあるサイトを自動的にコンテンツフィルタに追加して、URLフィルタリングシステムを最新の状態に保ちます。

4. 基本的なおよび高度な保護技術を利用する

ほとんどのランサムウェアのバリアントはよく知られており、基本的なセキュリティツールを使用して検出することができます。ただし、新しいタイプのマルウェアが定期的に発見され、既存のバリアントがますます洗練されているため、高度なセキュリティソフトウェアも利用する必要があります。

以下のリストには、ランサムウェア攻撃に対抗するために使用できる多くの保護技術が含まれています。

• ファイアウォール保護。これは、サイバー侵害に対する最初の防衛ラインです。Webアプリケーションファイアウォールは、Webサービス間のHTTPトラフィックを監視およびフィルタリングします。また、ルーターのファイアウォールを構成して、ランサムウェアの浸入リスクを減らすこともできます。
• ウイルス対策ソフトウェア。WindowsまたはmacOSで悪意のある動作が検出されると、ウイルス対策ソフトウェアがすぐに疑わしいファイルをブロックして通知します。ウイルス対策ソフトウェアを常に最新の状態に保つことで、新しいバージョンのランサムウェアを識別できるようにします。一部のウイルス対策ソリューションは、vShieldとvSphereと統合でき、ESXiホストで実行されているVMware仮想マシン（VM）を保護できます。
• エンドポイントの検出と応答（EDR）。現代のEDRソリューションは、ランサムウェア攻撃から侵害中および侵害前に保護を提供するために、リアルタイムの脅威インテリジェンスと分析を実行します。損害をできるだけ最小限に抑えるために、応答と緩和プロセスを自動化できます。
• 電子メールセキュリティ。電子メールサーバー上のアンチスパムおよびアンチマルウェアフィルターの適切な構成により、有害なリンクやファイル添付を含む電子メールメッセージを受信しないようにします（またはその確率を大幅に低減します）。攻撃者は通常、悪意のあるウェブサイトへのリンクを共有したり、WordやExcelのマクロを含むドキュメントを添付してランサムウェア感染を広げます。

フィルタの構成は、GoogleやMicrosoftなどの信頼されたベンダーのデータベースを使用して定期的に更新する必要があります。セキュリティポリシーに応じて、アンチマルウェアおよびアンチスパムフィルターをユーザーに到達する前に警告メッセージを表示するか、メッセージを削除するように構成できます。

• サンドボックス。サンドボックスは、並列ネットワーク上の隔離された環境でコードやリンクを分析できるため、追加のセキュリティレイヤーを提供します。疑わしいメッセージが電子メールフィルタを通過した場合、ネットワークに到達する前に検査およびテストできます。
• 侵入検知システム（IDS）。IDSは、悪意のある活動やポリシーの違反を探し出すためにネットワークとシステムを監視する高度なツールです。脅威が検出されると、侵入検知システムは自動的にセキュリティ管理者にレポートを送信し、必要な対策を実行してランサムウェアに対抗します。
• 偽装技術。すべてが失敗した場合、偽装技術はデータが盗まれるか暗号化されるのを防ぐのに役立ちます。この技術を使用すると、実際のデータとサーバーを模倣したデコイを作成し、サイバー犯罪者を欺いて彼らの攻撃が成功したと思わせることができます。これにより、脅威を迅速に検出して損害やデータ損失を引き起こす前に対処することができます。
• IT監視ツール。リアルタイムのITインフラ監視により、ネットワークパフォーマンスに基づいて迅速に侵害を特定できます。疑わしいプロセッサ負荷、異常なディスクアクティビティ、および大規模なストレージ消費は、ランサムウェア感染の明確な指標です。

ネットワークで奇妙な動作を検出した場合は、ハニーポット（またはトラップ）を設定することを検討してください。ハニーポット（またはトラッピング）は、異常なアクティビティをキャッチするために使用される技術です。これは、サーバー上の非標準の場所に保存された特別なファイルのセットです。これらのファイルにアクセスされると、システム管理者に通知されます。なぜなら、これは通常の本番操作では起こり得ないからです。

5. ゼロ信頼セキュリティで権限を制限する

その名前が示すように、ゼロ信頼モデルは、ネットワークに接続しようとするすべてのユーザー、内部または外部が信頼できない可能性があり、潜在的な脅威であると仮定すべきであることを意味します。アクセスは、徹底的な検証と認証プロセスを経た後にのみ許可されます。このアプローチは、権限のないアクセスを排除することで、ランサムウェアや侵害から保護します。

セキュリティポリシーをさらに強化するために、ユーザーが特定の作業を完了するために必要な権限のみを与えることが重要です。これは、最小限の特権の原則に基づいています。たとえば、通常のユーザーは管理者の資格情報を持っていてはなりません。また、機密データを含むバックアップリポジトリにアクセスするための専用アカウントを作成することが重要です。

6. セキュリティパッチをインストールし、システムを最新の状態に保つ

オペレーティングシステムやアプリケーションのセキュリティパッチを迅速にインストールすることで、攻撃者に利用される可能性のあるセキュリティギャップや脆弱性を減らすことができます。パッチ管理プログラムを実装し、可能であれば自動更新を有効にすることをお勧めします。

7. 対応計画を策定する

ランサムウェア攻撃が成功した場合に備えて、すべての組織が対応計画を用意しておくことが不可欠です。ビジネス継続性と災害復旧（BCDR）計画はランサムウェアから防御するものではありませんが、ダウンタイムを最小限に抑え、失われたデータを迅速に復旧するのに役立ちます。

チームが侵害後に実行すべき一連のアクションを明示することをお勧めします。これらのタスクには、以下が含まれます。

• 感染したデバイスをネットワークから切断する
• ランサムウェアと感染したファイルを削除する
• バックアップを使用してデータを復旧する
• 可能であれば復号化ツールを使用する

重要なのは、どんなことがあっても身代金を支払わないことです！支払いは犯罪者に追加攻撃を行う刺激を与えますし、データを取り戻せる保証はありません。

8. 定期的にバックアップを取る

ランサムウェア攻撃がネットワークに感染した場合でも、バックアップを使用して最小限の被害とダウンタイムで復旧することができます。バックアップからの復旧は、破損したデータやワークロードを復元するための最も効果的な方法です。

以下は、スムーズな復旧を確保するためにフォローできるベストプラクティスの一部です：

• 3-2-1 バックアップルールに従って、単一障害点を排除し、データの回復可能性を保証します。
• イミュータブルストレージにバックアップを保存して、ランサムウェアの暗号化や変更から保護します。
• ネットワークから切断されたテープや他のデバイスに、エアギャップバックアップコピーを保持します。
• バックアップ検証を実行して、すべてのデータが回復可能であることを確認します。
• バックアップにアクセスして管理するための専用の管理者アカウントを使用します。

結論

ランサムウェアは世界中の組織にとって最も危険な脅威の1つです。幸いなことに、このブログ記事で言及されているベストプラクティスにより、感染のリスクを減らし、データ損失を制限し、ランサムウェアに対する最適な保護を提供することができます。

ネットワークが感染した場合、暗号化されたデータを復元するためにバックアップに頼ることができます。NAKIVO Backup & Replicationはさまざまな環境に包括的なランサムウェアデータ保護を提供します。このソリューションには、増分バックアップ、細かいリカバリ、災害復旧オーケストレーションなどの高度なツールが含まれています。