凶暴性増すランサムウェアの裏側 - 今すぐ確認したい「意外な設定」

ランサムウェアによる攻撃が過熱するなか、組織はどのように身を守ればいいか。実はすぐにでも実施できる手軽な対策があるという。それは意外にも、ほとんどの組織で導入済みであろうエンドポイント向けの「セキュリティ対策ソフト」だ。

新井氏は、大手のエンドポイント向けセキュリティ対策製品は、特定回数以上ファイルが暗号化された場合など、ふるまいからランサムウェアを検知できる機能が大抵備わっていると指摘する。

問題は多くの製品において、こうした機能がデフォルトで「オフ」に設定されていること。ファイルを送信する際、暗号化するといった運用が行われているケースなど、アクティブな機能をデフォルトでオンにすると利用者からのクレームにつながることも考えられることからオフにされていることが多いとし、設定を確認して「オン」にするだけでも対策のひとつになると述べた。またクラウドストレージを利用すると自動的にバックアップされるため、重要なデータがランサムウェアによって暗号化された場合に被害を軽減できると付け加えた。

無論、こうした対策は、ランサムウェアによりデータが破壊されることを防ぐもので、データの漏洩を防ぐ対策が別途必要となる。「二重恐喝型」では、大量のデータが外部に向けて送信され、盗み出すのにそれなりの時間もかかる。データの送受信状況に異常がないかSIEMによって監視したり、エンドポイントにおいて異常な振る舞いを監視する「UEBA（User Entity Behavior Analytics）」なども効果的だと同氏は指摘した。

新井悠氏が所属するNTTDATA-CERTでは、公開された脅威情報を取りまとめ、四半期に1度のタイミングでレポートを公表している。2020年第2四半期のレポートでも注目トピックとして「VPN機器の脆弱性」や「テレワーク」「ランサムウェア」などのトピックを取り上げた。第3四半期のレポートもまもなく公開される見込み。「注目するトピックについて発生した事象をタイムラインとしてまとめている。セキュリティ対策の際、ぜひ参考にしてもらいたい（同氏）」。

（Security NEXT - 2020/11/12 ） ツイート

PR

関連記事

UTM設置時のテストアカウントが未削除、ランサム感染の原因に
まもなくGW - 長期休暇に備えてセキュリティ対策の再確認を
「VMware ESXi」も標的とするランサムウェア「Akira」に警戒を
再委託先における2023年2月のランサム被害を公表 - 国交省
サーバがランサム被害、UTMの設定不備を突かれる - CRESS TECH
ランサム被害、本番環境への影響がないことを確認 - フュートレック
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
ランサム被害で情報流出のおそれ、調査を継続 - フュートレック
初期侵入から平均62分で横展開を開始 - わずか2分のケースも
サイバー攻撃で狙われ、悪用される「正規アカウント」