ランサムウェアからOneDriveを保護する戦略

多くのユーザーは、OneDriveをクラウドバックアップストレージと考えています。彼らは、OneDriveに保存されたファイルは損失や破損の影響を受けないと考えがちです。つまり、一部の人々は、パブリッククラウドに保存されたファイルは、オンプレミスのローカルコンピュータやサーバーのディスクドライブに保存されたファイルとは異なり、ランサムウェアの影響を受けないと信じています。しかし、それは完全に真実ではありません！OneDriveに保存されたファイルも、ランサムウェアの攻撃を受け、暗号化され、結果として失われる可能性があります。

ランサムウェア攻撃の人気は年々増加しています。しかし、推奨事項に従い、セキュリティポリシーを遵守すれば、OneDriveにデータを保存していてもデータを安全に保つことができます。このブログ投稿では、OneDriveでデータを保護するための戦略と、ランサムウェア攻撃に対する保護方法について説明します。

OneDriveとランサムウェアについて

ランサムウェアはOneDriveに感染する可能性がありますか？ はい、これらの場合には、OneDriveに保存されたファイルがランサムウェアに感染して暗号化されることがあります：

• OneDriveがローカルコンピュータのローカルフォルダにマウントされており、OneDriveに保存されたファイルが関連するローカルフォルダと同期されている場合。ローカルコンピュータがランサムウェアに感染している場合、ランサムウェアはアクセス可能なすべてのファイルを暗号化します。これには、OneDriveと同期されているフォルダに保存されているファイルも含まれます。その結果、WebインターフェースからOneDriveにアクセスすると、暗号化された（つまり、破損した）ファイルが表示されます。ランサムウェアはOneDriveの暗号化を開始し、その後、他のドライブやすべてのアクセス可能なストレージ場所を暗号化することができます。
• 攻撃者があなたの資格情報を取得した場合、あなたのユーザーアカウントからアクセス可能なファイルがランサムウェアによって暗号化される可能性があります。
• クリックされたフィッシングリンクは、被害者のコンピューターにウイルス、マルウェア、ランサムウェアをダウンロードして実行させます。ランサムウェアはアクセス権を得たファイルを破損させます。
• OneDriveへのアクセス権を提供するよう求める悪意のあるアドオンや拡張機能は危険であり、ランサムウェア感染の入り口になる可能性があります。アドオンや拡張機能の説明を注意深く読み、インストールする前にベンダーを確認してください。

OneDriveは安全ですか？ OneDriveは安全ですか？ OneDriveはどれくらい安全ですか？これらの質問は新しいMicrosoft 365ユーザーの間で人気があります。OneDriveは十分に安全で安全です。ただし、ランサムウェア攻撃から保護する方法を知っておく、セキュリティの推奨事項に従う、OneDriveがハッキングされた場合の対処方法を知っておく必要があります。Microsoftは、OneDriveに保存されているファイルの大量削除や暗号化などの疑わしいアクティビティを検出する新しい組み込みランサムウェア検出機能を発表しました。ユーザーは、ユーザーデバイスとメールでアラートメッセージで通知されます。推奨事項のリストも表示されます。しかし、望んでいるのは、OneDriveランサムウェアがファイルを破損させないようにすることです。このブログ投稿の次のセクションで、フォルダーをランサムウェアから保護する方法を読んでください。

ランサムウェア攻撃からOneDriveを保護する方法

このセクションでは、ランサムウェアから保護する方法とOneDriveのランサムウェア保護戦略を説明します。これらの推奨事項に従うことで、ランサムウェア感染のリスクを減らし、データを失う可能性を減らします。

資格情報を保護

Microsoft 365管理者アカウントの資格情報を保護します。 管理者の資格情報を盗むと、組織のOneDriveストレージに保存されているすべてのデータ（組織内のすべてのユーザーのデータを含む）を盗み、破壊できます。

ユーザーの資格情報を保護します。 ユーザーのアカウントを盗むことで、攻撃者は個人データや共有データにアクセスし、ランサムウェアを配布し、ファイルを感染させることができます。 共有OneDriveストレージに保存されているファイルが感染すると、共有ストレージにアクセスする他のユーザーも感染する可能性があります。

二要素認証を有効にします。 Microsoft 365は多要素認証をサポートしています。 この追加のセキュリティ手順は、ユーザーがアカウントが侵害され、資格情報が盗まれることを防ぐのに役立ちます。 管理権限を持つMicrosoft 365アカウントを保護するために、多要素認証または二段階認証を使用することが推奨されています。 以下は、Microsoft 365の二要素認証に関するブログ投稿です。

各コンピューターを保護します

組織内のコンピューターを保護します。 アンチウイルスおよび対マルウェアソフトウェアをインストールして構成します。 この推奨事項に従うと、ユーザーのコンピューターやこれらのコンピューターの同期されたOneDriveフォルダーに保存されているファイル（ローカルフォルダーにマップされたOneDriveストレージ）がランサムウェアに感染するリスクが低減します。 サーバーや仮想マシンについても忘れずに。

ファイルの実行をブロックする%appdata%、%localappdata%に保存されている。これらのディレクトリは、Windowsのアプリケーションがデータを保存するために使用されます。一時ファイルやダウンロードされたデータはそこにあります。ランサムウェアファイルがダウンロードされると、これらのフォルダにマスクされて隠され、その後実行される可能性があります。

Microsoft Office文書内のマクロをブロックします。マクロはほとんどビジネスタスクに使用されませんが、重大な問題の原因となります。広く使用されている感染方法の1つは、悪意のあるマクロを含むドキュメントを配布し、それによってランサムウェア攻撃が起動し、コンピューターに感染してからネットワークを介して他のコンピューターに感染させることです。

既知のソフトウェアの脆弱性を修正するためにソフトウェアをアップデートし、セキュリティパッチをインストールします。これらのパッチはランサムウェアがシステムに侵入して感染するのに使用できます。Windowsとアプリケーションの自動ソフトウェアアップデートを有効にできます。セキュリティ構成が完璧でない場合、攻撃者はパッチされていないソフトウェアの脆弱性を使用してランサムウェア攻撃を開始できます。そのため、パッチのインストールが重要です。

ユーザーを教育します

フィッシング攻撃を認識する方法をユーザーに教えること。攻撃者は、ユーザーが経験がないと仮定し、すべてのファイルをメールに添付してダウンロードし、ファイルを開き、すべてのリンクをクリックすると思われます。私たちの仕事は、ユーザーに脅威について伝え、不審なコンテンツを特定する方法を教えることです。

最も人気のあるランサムウェア攻撃の手法は、フィッシングメールをユーザーに送信することです。悪意のあるリンクは正規のリンクのように見せかけられていますが、ユーザーをランサムウェアをダウンロードしてインストールさせるようにリダイレクトします。リンクの上にカーソルを置いて、URLアドレスのスペルを確認してください。1文字でも間違っている場合は、リンクをクリックしないでください。送信者のメールアドレスも、リンクと同様に偽装される可能性があります。送信者を知らない場合や、その送信者からのメッセージを受け取りたくない場合は、その送信者からのメールをスキップするか、拒否する方が良いです。メールメッセージに添付されたファイルをダウンロードして開かないでください。マクロが含まれるWord/Excelドキュメントを開くことの脅威について覚えておいてください。

メールメッセージ内の有害なリンクや偽のウェブページは危険です。攻撃者は偽のページを作成し、その偽のページへのリンクをメールメッセージで送信することができます。偽のページは元のページのように見えますが、ページ上の要素をクリックしたり、資格情報を入力したりするとアカウントが失われたり、ランサムウェアに感染したりする可能性があります。

ウェブサイトのアドレスが実際に正当であっても、攻撃者はウェブサイトをハックし、そのサイトに悪意のあるインジェクションを行うことができます。そのようなウェブサイトを訪れた後、ユーザーはランサムウェアに感染する可能性があります。最新のアップデートされた良いアンチウイルスソフトウェアは、このような場合の感染を防ぐことができます。

攻撃者は、メールメッセージで「緊急」「重要」などのラベルやソーシャルエンジニアリング技術を使用して被害者を急かし、内容を確認することから注意をそらそうとします。Skypeや他のサービスからメッセージを受け取ったときには注意してください。攻撃者はユーザーアカウントをハックしてそのユーザーからメッセージを送信することができます。この場合、ユーザーアカウントは実際に存在しますが、ハックされたアカウントから送信されたリンクやファイルは脅威となり得ます。

ユーザーが不審なコンテンツを認識する訓練を受けると、フィッシングメールによるランサムウェア攻撃のリスクが大幅に低くなります。ファイルを回復するよりもOneDriveランサムウェア攻撃を防ぐ方が常に良いです。

電子メール保護システムを使用します

Exchange Online Protectionを使用します。このネイティブのMicrosoft 365ツールを使用すると、安全なリンクフィルターや安全な添付ファイルフィルターなどの追加の保護フィルターを設定できます。

フィッシング防止ポリシーを設定します。Exchange Online Protectionは、信頼された送信者、不審な送信者、脅威となる添付ファイル、スプーフィングされた悪意のあるリンクや感染したサイトへのリンクを判断できます。設定でスプーフィングされた送信者や望まないメールをブロックできます。

Word/Excel文書のマクロ、VBScript、JavaScriptなどの添付ファイル内のアクティブなコンテンツをブロックします。この機能についてのブログ記事を読んでくださいExchange Online Protection詳細情報を得るために。

クラウド保護システムを使用します

あなたのMicrosoft 365環境でMicrosoft 365 Defenderを有効にします。Microsoft 365 DefenderはOffice 365の新しい名前です。Advanced Threat Protection（Microsoft Defender for Office 365）。この機能は、組織内のMicrosoft 365ユーザーのランサムウェア感染リスクを低減するのに役立ちます。Microsoft 365 Defenderの主な機能は、脅威のインテリジェント検出、自動調査、洗練されたランサムウェア攻撃に対する統合保護です。Microsoft 365 Defenderは、Microsoft 365セキュリティセンターで構成できます。ユーザーが教育され、インテリジェントなソフトウェアが有効になっている場合、保護レベルがはるかに高くなります。

バージョニングを使用

OneDrive設定でバージョニング（バージョン履歴）を有効にします。ランサムウェアがOneDriveに保存されているオブジェクトを暗号化する場合、ファイルの最新バージョンのみが暗号化されます。以前のファイルバージョンを選択して必要なファイルを回復できます。ただし、ファイルを回復する前に、感染したコンピューターからランサムウェアを削除してファイルを再度暗号化しないようにする必要があります。以前のファイルバージョンを回復して何千ものファイルを回復するのは時間がかかります。適切なOneDriveバックアップを持っていると、この場合に時間とリソースを節約できます。OneDriveのバージョン履歴を使用すると、過去30日間に変更された任意のバージョンに保存されているOneDriveに保存されているファイルを回復できます。OneDriveの削除済みアイテム（リサイクルビン内のファイル）の保持設定を確認してください。

保持ポリシーを構成します。Microsoft 365の保持ポリシーは、データが削除された後、そのデータが永久に削除される前に保持される期間を定義します。保持されたデータをクラウドに保存すると、ストレージスペースを使用することになり、追加のコストが発生する可能性があります。

OneDriveに保存されているデータのバックアップ

OneDriveに保存されているデータのバックアップ。上記のオプションの一部は、すべてのMicrosoft 365サブスクリプションプランで利用できない場合があり、おそらく上位のサブスクリプションプランでのみ利用できる場合があります。Microsoftは、Office 365クラウドストレージ内のすべてのデータを2週間以内にデータ損失事故から復元するためのサポートをリクエストすることを許可していますが、グラニュラー回復のオプションはなく、復元する必要のあるオブジェクトを選択することはできません。

クラウドまたはオンプレミスの安全な場所にバックアップを保存します。バックアップリポジトリは、他のユーザーと共有されていない（バックアップソフトウェアと管理者によってのみアクセス可能である）ように、十分に保護されている必要があります。

NAKIVO Backup & Replicationでデータをバックアップします。

OneDrive を保護するために NAKIVO Backup & Replication を使用します。 NAKIVO Backup & Replication は、OneDrive、Exchange Online、および SharePoint Online に存在するデータを含む、Microsoft 365 のバックアップをサポートしています。OneDrive のデータをバックアップし、最大 4,000 個の回復ポイントを作成し、これらの回復ポイントを使用してファイルの必要なバージョンを後で復元できます。グラニュラー リカバリを使用すると、ユーザーのカスタム ファイルとフォルダーを元の場所またはカスタムの場所に復元できます。NAKIVO Backup & Replication のインスタンス 1 つで、数千の Office 365 ユーザーアカウントを保護できます。OneDrive のデータは、ローカル サーバーに格納されたオンプレミスのバックアップリポジトリにバックアップされます。構成は直感的なウェブインターフェイスで実行されます。

ランサムウェアのリカバリに関するブログ投稿や NAS デバイスへのランサムウェア攻撃に関するブログ投稿を読むと、ランサムウェアの動作原理とその保護についてさらに詳しく学ぶことができます。

OneDrive ファイルの復旧方法。ランサムウェアによってファイルが暗号化された場合、決して身代金を支払わないでください。身代金を支払うことは、攻撃者により多くのお金を得るためにさらに攻撃を行う動機を与えます。身代金を支払えば、ファイルを完全または部分的に回復できる保証はありません。ランサムウェア攻撃後に OneDrive ファイルが暗号化されていることに気付いた場合、ネイティブの Microsoft ツールを使用するか、サードパーティのデータ保護ソフトウェアを使用してバックアップからデータを回復する必要があります。

まず、組織内のすべてのコンピューターにインストールされたランサムウェアを削除してください。組織内のユーザーアカウントにネイティブのMicrosoft 365機能が有効になっている場合は、以前のバージョンからOneDriveファイルを復元するか、リサイクルビンから復元してください（2段階のリサイクルビンを含む）。バックアップがある場合は、バックアップからデータを復元してください。

NAKIVO Backup＆Replicationを使用したOneDriveのバックアップとリカバリについては、このブログ投稿を詳しく読んでください。

結論

このブログ投稿では、OneDriveをランサムウェア攻撃から保護する戦略と、OneDriveランサムウェア攻撃を防ぐのに役立ついくつかの高レベルな推奨事項について説明しました。すべてのマシンで使用されているすべてのソフトウェアのセキュリティ設定を構成し、データバックアップを構成することによって、データを技術的に保護する必要があります。さらに、攻撃者は通常、ランサムウェア攻撃を開始するためのいくつかの方法のうちの1つを通常のユーザー経由で利用するため、ユーザーにランサムウェア攻撃を開始しようとする可能性のある試みをどのように認識するかについて教育する必要があります。

ランサムウェアがファイルを破損させた場合、データを復元するための最も信頼性の高い方法はバックアップです。OneDriveに保存されているデータを保護するためにNAKIVO Backup＆Replicationを使用してください。