ランサムウェア攻撃から組織をすばやく保護する
ランサムウェアは、サイバー犯罪者が大規模および小規模の組織を強要するために使用するサイバー攻撃の種類です。
ランサムウェア攻撃や最小限の損害から保護する方法を理解することは、会社を保護する上で重要な部分です。 この記事では、ランサムウェア保護をすばやく構成する方法に関する実用的なガイダンスを提供します。
ガイダンスは、実行する最も緊急のアクションから始まる手順に編成されています。
このページを手順の開始点としてブックマークします。
注
ランサムウェアとは については、ランサムウェアの定義を参照してください。
この記事に関する重要な情報
注
これらの手順の順序は、リスク を可能な限り速く減らすように設計されており、壊滅的な攻撃を回避または軽減するために、通常のセキュリティと IT の優先順位をオーバーライドする緊急性を想定して構築されています。
このランサムウェア防止ガイダンス 示されている順序で従う必要がある手順として構成されていることに注意することが重要です。 このガイダンスを状況に合わせて最適に調整するには、次の手順を実行します。
推奨される優先順位を付
最初、次、および後で行う作業の開始計画としてこの手順を使用して、最も影響の大きい要素を最初に取得します。 これらの推奨事項は、侵害を想定したゼロトラスト原則を使用して優先順位付けされます。 これにより、攻撃者が 1 つ以上の方法で環境に正常にアクセスできるものとします。これにより、ビジネス リスクを最小限に抑えることに集中できます。
プロアクティブで柔軟である (ただし、重要なタスクをスキップしない)
3 つの手順のすべてのセクションの実装チェックリストをスキャンして、前の をすばやく完了できる領域とタスクがあるかどうかを確認。 言い換えると、使用されていないが、迅速かつ簡単に構成できるクラウド サービスに既にアクセスできるため、より迅速に行うことができます。 計画全体を見るときは、バックアップや特権アクセスなどの非常に重要な領域の "完了をこれらの後の領域とタスクが遅らせない" ことに注意してください。
一部の項目を並行して実行
一度にすべてを行おうとすることは圧倒的ですが、一部の項目は自然に並行して行うことができます。 異なるチームのスタッフは、タスクに同時に取り組むことができます (バックアップ チーム、エンドポイント チーム、ID チームなど) が、優先順位に従って各ステップを完了させることも進めることができます。
実装チェックリストの項目は、技術的な依存関係の順序ではなく、優先順位付けの推奨される順序です。
チェックリストを使用して、必要に応じて組織で動作する方法で、既存の構成を確認および変更します。 たとえば、最も重要なバックアップ要素では、一部のシステムをバックアップしますが、オフラインまたは不変ではない可能性があります。完全なエンタープライズ復元手順をテストしない場合や、重要なビジネス システムや Active Directory Domain Services (AD DS) ドメイン コントローラーなどの重要な IT システムのバックアップがない場合があります。
注
ランサムウェアを防ぎ、ランサムウェアから回復するための3ステップ () については、このプロセスの追加概要をMicrosoftセキュリティブログの投稿 () を参照してください(2021年9月)。
ランサムウェアを今すぐ防ぐためにシステムを設定する
手順は次のとおりです。
ステップ 1. ランサムウェアの復旧計画を準備する
このステップは、次のようにすることで、ランサムウェアの攻撃者からの金銭的インセンティブを最小限に抑えることを意図しています。
- システムにアクセスして中断したり、主要な組織データを暗号化または損傷したりすることがはるかに困難です。
- 身代金を支払わずに攻撃から組織が回復することを容易にする。
注
多くのエンタープライズ システムまたはすべてのエンタープライズ システムの復元は困難な作業ですが、攻撃者が提供しない回復キーに対して攻撃者に支払いを行う代わりに、攻撃者が作成したツールを使用してシステムとデータを回復します。
手順 2. ランサムウェアによる損害の範囲を制限する
特権アクセスの役割を使用して複数のビジネス クリティカルなシステムにアクセスするための攻撃者の作業が、非常に困難になるようにします。 攻撃者が特権アクセスを取得する能力を制限することにより、組織への攻撃から利益を得ることがはるかに困難になり、諦めて立ち去る可能性が高くなります。
手順 3. サイバー犯罪者が入りにくいようにする
この最後の一連のタスクは、侵入に対する摩擦を生みだすために重要ですが、より大きなセキュリティの取り組みの一環として完了するまでに時間がかかります。 このステップの目的は、さまざまな一般的な侵入ポイントで、攻撃者がオンプレミスまたはクラウドのインフラストラクチャへのアクセスを取得しようとする作業を非常に困難なものにすることです。 多くのタスクがあるため、現在のリソースでこれらを達成できる速度に基づいて、ここで作業に優先順位を付ける必要があります。
これらの多くは使い慣れた簡単に実行できますが、手順 3 の作業 、手順 1 と 2 のの進行状況を遅くしないことが非常に重要です。
ランサムウェアの保護の概要
また、ランサムウェアポスター から組織を保護するを使用してランサムウェア攻撃者に対する保護レベルとして、手順とその実装チェックリストの概要を確認することもできます。
マクロ レベルでランサムウェアの軽減策に優先順位を付けます。 ランサムウェアから保護するように組織の環境を構成します。
次のステップ
手順1: 
します。
手順 1 から始めて、身代金を支払わなくても攻撃から回復できるように組織を準備します。
その他のランサムウェア リソース
Microsoft からの重要な情報:
- ランサムウェアの脅威の増大, Microsoft On the Issues のブログ記事 2021年7月20日
- 人間が操作するランサムウェア
- 2021 Microsoft Digital Defense Report (10ページから19ページを参照)
- ランサムウェア: 広範で継続的な脅威 Microsoft Defender ポータルの脅威分析レポート
- Microsoft インシデント対応チーム (旧DART/CRSP) ランサムウェア アプローチ と ケース スタディ
Microsoft 365:
- Microsoft 365テナントにランサムウェア保護を配置する
- Azure と Microsoft 365 を使用してランサムウェアの回復性を最大化する
- ランサムウェア攻撃からの回復
- マルウェアおよびランサムウェア対策
- Windows 10 PCをランサムウェアから保護する
- SharePoint Online でのランサムウェアの処理
- Microsoft Defender ポータルでランサムウェア に関する脅威分析レポートを にする
Microsoft Defender XDR:
- ランサムウェア に対する組み込みの保護
- 高度なハンティングによるランサムウェアの検索
Microsoft Azure:
- ランサムウェア攻撃に対する Azureの防御
- Azure と Microsoft 365 を使用してランサムウェアの回復性を最大化する
- ランサムウェアから保護するためのバックアップと復元の計画
- Microsoft Azure Backup を使用したランサムウェアからの保護に関するヘルプ (26 分間のビデオ)
- システムの ID 侵害からの復旧
- Microsoft Sentinel での高度なマルチステージ攻撃の検出
- Microsoft Sentinel でのランサムウェアの Fusion 検出
Microsoft Defender for Cloud Apps:
Microsoft セキュリティ チームのブログ投稿:
人が操作するランサムウェアと戦うためのガイド: パート 1 (2021 年 9 月)
Microsoft インシデント対応がランサムウェア インシデント調査を実施する方法に関する主要な手順。
人が操作するランサムウェアと戦うためのガイド: パート 2 (2021 年 9 月)
推奨事項とベスト プラクティス。
サイバーセキュリティリスクを理解して回復力を高める: パート 4 - 現在の脅威をナビゲートする (2021 年 5 月)
ランサムウェアの セクションを参照してください。
人が操作するランサムウェア攻撃:予防可能な災害 (2020 年 3 月)
実際の攻撃の攻撃チェーン分析が含まれます。