ランサムウェア攻撃から防御する
このフェーズでは、侵入点におけるリスクを徐々に取り除くことで、脅威アクターがオンプレミスまたはクラウド システムにアクセスするのを "より困難" にします。
これらの変更の多くはよく知られており簡単に実装することができますが、戦略のこの部分の作業によって、他の決定的に重要な部分での作業の邪魔にならないようにすることが非常に重要です。
3 つの部分からなるランサムウェア防止計画を確認するためのリンクを以下に示します。
[リモート アクセス]
リモート アクセス接続を通して組織のイントラネットへのアクセスを取得することは、ランサムウェアの脅威アクターにとっての攻撃ベクトルとなります。
オンプレミスのユーザー アカウントが侵害されると、脅威アクターはイントラネットを利用して機密情報を収集し、特権を昇格し、ランサムウェア コードをインストールできます。 2021年に発生したコロニアル パイプラインへのサイバー攻撃はその一例です。
リモート アクセスに対するプログラムおよびプロジェクト メンバーの責任
次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアからのリモート アクセス ソリューションの全体的な保護について説明します。
| Lead | 実装者 | アカウンタビリティ |
|---|---|---|
| CISOまたはCIO | エグゼクティブ スポンサー | |
| 中央 IT インフラストラクチャまたはネットワーク チームのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| IT およびセキュリティ アーキテクト | アーキテクチャへのコンポーネントの統合に優先順位を付ける | |
| 中央 IT ID チーム | Microsoft Entra ID と条件付きアクセス ポリシーを構成する | |
| 中央 IT 運用 | 環境への変更を実装する | |
| ワークロード所有者 | アプリ発行の RBAC アクセス許可をサポートする | |
| セキュリティ ポリシーと基準 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ コンプライアンス管理 | コンプライアンスを確保するために監視する | |
| ユーザー教育チーム | ワークフローの変更に関するガイダンスを更新し、教育と変更管理を実行する |
リモート アクセスの実装チェックリスト
こちらのベスト プラクティスを適用して、ランサムウェアの脅威アクターからリモート アクセス インフラストラクチャを保護します。
| 完了 | タスク | 説明 |
|---|---|---|
| ソフトウェアおよびアプライアンスの更新を維持する。 製造元による保護 (セキュリティ更新プログラム、サポート対象状態)を実行し忘れたり無視したりしないようにする。 | 脅威アクターは、まだ修正されていない既知の脆弱性を攻撃ベクトルとして使用します。 | |
| 条件付きアクセスによるゼロトラスト ユーザーとデバイスの検証の強制を含めることにより、既存のリモート アクセス用に Microsoft Entra IDを構成します。 | ゼロ トラストにより、組織への複数レベルのアクセス保護を提供できます。 | |
| 既存のサードパーティ製 VPN ソリューション (Cisco の AnyConnect、Palo Alto Networks の GlobalProtectCaptive Portal、Fortinet の FortiGate SSL VPN、Citrix の NetScaler、Zscaler Private Access (ZPA)、その他) に対してセキュリティを構成する。 | リモート アクセス ソリューションの組み込みセキュリティを活用します。 | |
| リモート アクセスを提供するために Azure ポイント対サイト (P2S) VPNを配置する。 | Microsoft Entra ID および既存の Azure サブスクリプションとの統合を活用してください。 | |
| Microsoft Entra アプリケーション プロキシを使用してオンプレミス Web アプリを公開します。 | Microsoft Entra アプリケーション プロキシを使用して公開されたアプリには、リモート アクセス接続は必要ありません。 | |
| Azure Bastionを使用して、Azure リソースへのアクセスをセキュリティで保護する。 | SSL で Azure バーチャルマシンに安全かつシームレスに接続します。 | |
| ベースラインからの逸脱と潜在的な攻撃を検出して修正するために監査と監視を行う (「検出と対応」を参照)。 | ベースラインのセキュリティ機能と設定をプローブするランサムウェア アクティビティのリスクを軽減します。 |
電子メールとコラボレーション
電子メールおよびコラボレーション ソリューションのベスト プラクティスを実装して、従業員が外部コンテンツに簡単かつ安全にアクセスできるようにしながら、脅威アクターがそれらを悪用できないようにします。
脅威アクターは、多くの場合、電子メールやファイル共有などの承認されたコラボレーション ツールの中に正体を隠した悪意のあるコンテンツを挿入し、そのコンテンツを実行するようにユーザーを説得することによって環境に侵入します。 Microsoft では、これらの攻撃ベクトルからの保護を大幅に向上させる、強化された軽減策に投資しています。
電子メールとコラボレーションのためのプログラムおよびプロジェクト メンバーの説明責任
次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアからの電子メールとコラボレーション ソリューションの全体的な保護について説明します。
| Lead | 実装者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、または ID ディレクター | エグゼクティブ スポンサー | |
| セキュリティ アーキテクチャ チームからのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| IT アーキテクト | アーキテクチャへのコンポーネントの統合に優先順位を付ける | |
| クラウドの生産性またはエンド ユーザー チーム | Defender for Office 365、Azure Site Recovery、AMSI を有効にする | |
| セキュリティ アーキテクチャ / インフラストラクチャとエンドポイント | 構成のサポート | |
| ユーザー教育チーム | ワークフローの変更に関するガイダンスを更新する | |
| セキュリティ ポリシーと基準 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ コンプライアンス管理 | コンプライアンスを確保するために監視する |
電子メールとコラボレーションの実装チェックリスト
これらのベスト プラクティスを適用して、ランサムウェアの脅威アクターから電子メールとコラボレーション ソリューションを保護します。
| 完了 | タスク | 説明 |
|---|---|---|
| Office VBA に対して AMSIを有効にする。 | ディフェンダー for Endpoint などのエンドポイント ツールを使用して、Officeのマクロ攻撃を検出します。 | |
| ディフェンダー for Office 365や類似するソリューションを使用して、高度な電子メール セキュリティを実装する。 | 電子メールは、脅威アクターにとって一般的なエントリ ポイントです。 | |
| 攻撃面の減少 (Azure Site Recovery) ルールを展開して、次のような一般的な攻撃手法をブロックする。 - 資格情報の盗用、ランサムウェア アクティビティ、PsExec と WMIの疑わしい使用などのエンドポイントの悪用。 - Office アプリケーションによって開始される高度なマクロ アクティビティ、実行可能コンテンツ、プロセス作成、プロセス インジェクションなどの武器化された Office ドキュメント アクティビティ。 注: これらのルールはまず監査モードで配置して、マイナスの影響を評価してから、ブロック モードで配置します。 |
Azure Site Recovery では、特に一般的な攻撃方法の軽減を目的とした追加の保護レイヤーが提供されます。 | |
| ベースラインからの逸脱と潜在的な攻撃を検出して修正するために監査と監視を行う (「検出と対応」を参照)。 | ベースラインのセキュリティ機能と設定をプローブするランサムウェア アクティビティのリスクを軽減します。 |
エンドポイント
インターネット トラフィックとコンテンツに直接公開されているアプリケーションとサーバーおよびクライアント オペレーティング システムの優先順位を設定して、関連するセキュリティ機能を実装し、エンドポイント (デバイス) とアプリケーションに対するソフトウェア メンテナンスのベスト プラクティスに厳密に従います。
インターネットに公開されたエンドポイントは、脅威アクターに組織の資産へのアクセスを提供する一般的な侵入ベクトルです。 次のステージが実行されるのを遅らせたり停止したりする予防型コントロールを使用して、一般的な OS とアプリケーションの脆弱性のブロックの優先順位を設定します。
エンドポイントに対するプログラムとプロジェクト メンバーの責任
次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアからのエンドポイントの全体的な保護について説明します。
| Lead | 実装者 | アカウンタビリティ |
|---|---|---|
| ダウンタイムと攻撃の両方による損害のビジネスへの影響について責任を負うビジネス リーダー | エグゼクティブ スポンサー (メンテナンス) | |
| 中央 IT 運用または CIO | エグゼクティブ スポンサー (その他) | |
| 中央 IT インフラストラクチャ チームからのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| IT およびセキュリティ アーキテクト | アーキテクチャへのコンポーネントの統合に優先順位を付ける | |
| 中央 IT 運用 | 環境への変更を実装する | |
| クラウドの生産性またはエンド ユーザー チーム | 攻撃面の減少を有効にする | |
| ワークロードまたはアプリの所有者 | 変更のためのメンテナンス期間を特定する | |
| セキュリティ ポリシーと基準 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ コンプライアンス管理 | コンプライアンスを確保するために監視する |
エンドポイントの実装チェックリスト
これらのベスト プラクティスを、すべての Windows、Linux、macOS、Android、iOS、およびその他のエンドポイントに適用します。
| 完了 | タスク | 説明 |
|---|---|---|
| 攻撃面の減少ルール、改ざん防止、および事前ブロックを使用して、既知の脅威をブロックする。 | これらの組み込みセキュリティ機能を使用しなかったことが原因で攻撃者が組織に侵入しないようにしてください。 | |
| セキュリティ ベースラインを適用して、インターネットに接続された Windows サーバーとクライアントおよび Office アプリケーションを強化する。 | 最小限のセキュリティ レベルで組織を保護し、そこから構築します。 | |
| ソフトウェアが次の状態になるようにメンテナンスします。 - 最新状態: オペレーティング システム、ブラウザー、電子メール クライアントの重要なセキュリティ更新プログラムを迅速にデプロイする。 - サポート対象: ベンダーでサポートされているバージョンになるようにオペレーティング システムとソフトウェアをアップグレードする。 |
攻撃者は、製造元の更新プログラムやアップグレードを実行し忘れたり無視したりするのを利用します。 | |
| 非サポート対象のオペレーティング システムやレガシ プロトコルなど、セキュリティで保護されていないシステムやプロトコルを分離、無効化、または削除する。 | 攻撃者は、レガシ デバイス、システム、プロトコルの既知の脆弱性を組織へのエントリ ポイントとして使用します。 | |
| ホストベースのファイアウォールとネットワーク防御を使用して予期しないトラフィックをブロックする。 | 一部のマルウェア攻撃では、攻撃のための接続を行う手段として、ホストへの未承諾の受信トラフィックが利用されます。 | |
| ベースラインからの逸脱と潜在的な攻撃を検出して修正するために監査と監視を行う (「検出と対応」を参照)。 | ベースラインのセキュリティ機能と設定をプローブするランサムウェア アクティビティのリスクを軽減します。 |
アカウント
古いスケルトン キーでは現代の泥棒から家を保護できないのと同じように、パスワードでは、現在の一般的な攻撃からアカウントを保護することはできません。 多要素認証 (MFA) は、かつては面倒な追加手順でしたが、パスワードレス認証によってサインイン エクスペリエンスが向上しています。これは、生体認証アプローチを使用するため、ユーザーはパスワードを記憶したり入力したりする必要がありません。 さらに、ゼロ トラスト インフラストラクチャでは信頼されたデバイスについての情報が記憶されるため、煩わしい特別な MFA アクションを求めるプロンプトが減ります。
高い特権を持つ管理者アカウントから開始して、パスワードレスや MFAの使用など、アカウント セキュリティのベスト プラクティスに厳密に従ってください。
プログラムとプロジェクトのメンバーのアカウントに対する責任
次の表では、結果を判別して推進するスポンサー、プログラム管理、プロジェクト管理の階層の観点から、ランサムウェアからのアカウントの全体的な保護について説明します。
| Lead | 実装者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、または ID ディレクター | エグゼクティブ スポンサー | |
| ID とキーの管理またはセキュリティ アーキテクチャ チームからのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| IT およびセキュリティ アーキテクト | アーキテクチャへのコンポーネントの統合に優先順位を付ける | |
| ID とキーの管理または中央 IT 運用 | 構成の変更を実装する | |
| セキュリティ ポリシーと基準 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ コンプライアンス管理 | コンプライアンスを確保するために監視する | |
| ユーザー教育チーム | パスワードまたはサインインのガイダンスを更新し、教育および変更管理を実行する |
アカウントの実装チェックリスト
これらのベスト プラクティスを適用して、ランサムウェア攻撃者からアカウントを保護します。
| 完了 | タスク | 説明 |
|---|---|---|
| すべてのユーザーに強力な MFA またはパスワードレス サインインを強制する。 次の1つ以上を使って、管理者および優先アカウントから始めます。 - Windows Hello や Microsoft Authenticator アプリを使用したパスワードレス認証。 - 多要素認証。 - サードパーティの MFA ソリューション。 |
攻撃者がユーザー アカウントのパスワードを特定するだけでは、資格情報の侵害を実行しにくくします。 | |
| パスワードのセキュリティを強化する。 - Azure AD アカウントの場合は、Azure AD パスワード保護を使用して、既知の脆弱なパスワードや組織に固有のその他の脆弱な用語を検出してブロックする。 - オンプレミスの Active Directory ドメイン サービス (AD DS) アカウントの場合、Microsoft Entra パスワード保護をAD DS アカウントに拡張します。 |
攻撃者が一般的なパスワードや組織名に基づくパスワードを特定できないようにします。 | |
| ベースラインからの逸脱と潜在的な攻撃を検出して修正するために監査と監視を行う (「検出と対応」を参照)。 | ベースラインのセキュリティ機能と設定をプローブするランサムウェア アクティビティのリスクを軽減します。 |
実装の結果とタイムライン
30日以内に次の結果を達成するよう努めてください。
100% の従業員が MFA を積極的に使用している
より高度なパスワード セキュリティが 100% デプロイされている
その他のランサムウェア リソース
Microsoft からの重要な情報:
Moonstone Sleet が数々の新たな手口を携えて北朝鮮の新しい脅威アクターとして台頭、マイクロソフト ブログ、2024 年 5 月
2023 Microsoft デジタル防衛レポート (17 - 26 ページを参照)
Microsoft Defender ポータルでのランサムウェア: 広範かつ継続的な脅威の脅威分析レポート
Microsoft 365:
- Microsoft 365テナントにランサムウェア保護を配置する
- Azure と Microsoft 365でランサムウェアからの回復性を最大化する
- ランサムウェア攻撃からの回復
- マルウェアおよびランサムウェア対策
- Windows 10 PCをランサムウェアから保護する
- SharePoint Online でのランサムウェアの処理
- Microsoft Defender ポータルでランサムウェアの脅威分析レポート
Microsoft Defender XDR:
Microsoft Azure:
- ランサムウェア攻撃に対する Azureの防御
- Azure と Microsoft 365でランサムウェアからの回復性を最大化する
- ランサムウェアから保護するためのバックアップと復元の計画
- Microsoft Azure バックアップを使用してランサムウェアからの保護を支援 (26 分のビデオ)
- システムの ID 侵害からの復旧
- Microsoft センチネル での高度なマルチステージ攻撃の検出
- Microsoft センチネル でのランサムウェアの Fusion 検出
Microsoft Defender for Cloud Apps:
Microsoft セキュリティ チームのブログ記事:
人が操作するランサムウェアと戦うためのガイド: パート1(2021年 9月)
Microsoftの検出および対応チーム (DART) がランサムウェア インシデント調査を実施する方法に関する重要なステップ。
人が操作するランサムウェアと戦うためのガイド: パート2(2021年 9月)
レコメンデーションとベスト プラクティス
サイバーセキュリティ リスクを理解して回復性を得る: 第4部 - 現在の脅威を調べる (2021年5月)
「Ransomware (ランサムウェア)」セクションを参照してください。
人間が操作するランサムウェア攻撃: 予防可能な災害 (2020年3月)
実際の攻撃の攻撃チェーン分析が含まれています。