ランサムウェアの攻撃に備えることとは
企業や組織のセキュリティ担当者は、他のサイバー攻撃と同様、ランサムウェアを「防ぐ」ことを念頭に入れる必要があります。攻撃を受けた後の対策に投資する考え方もありますが、ランサムウェアは感染したタイミングでのデータ復旧が困難になるため、「先行して防御」することが重要になります。もちろん、万が一に備えて、データバックアップやリストアなどを含めた復旧方法を検討することも必要です。
ランサムウェアを用いた攻撃の防御には、多層防御の考えに基づいた、複数のセキュリティエンジンを使用した防御が有効です。標的型攻撃対策と同様にさまざまな侵入経路で複雑化する攻撃であっても、アンチウイルスのシグネチャベースで防御できるランサムウェアは多数ありますし、エクスプロイトが使われる段階で防いだり、不正なドメインへのアクセスを防止したりすることは有効な対策となります。
多くの新種や亜種が作られて、秘匿化も加えられた攻撃に対しては、サンドボックスセキュリティを用いて新種のランサムウェアかどうか判別することができます。また、全世界で発生する攻撃のため、より大きなコミュニティで即座に脅威情報を共有し、ネットワークとエンドポイントの両面でその共有情報を活用することで、新種のランサムウェアにも即座に対応することができます。そのサンドボックスセキュリティも今後は、Mac OS含めさまざまなプラットフォームに対応する必要があります。
加えて、セキュリティ担当者は、ランサムウェアの攻撃の傾向や種類を把握し、適切な情報やセキュリティ対策を内部へ発信をしていくことも重要です。例えば、同種マルウェアの“侵入の痕跡”(Indicators of Compromise:IOC)における外部アクセスドメイン情報を基にしたログ検査などで、セキュリティインテリジェンスのサービスを活用することが挙げられます。
- 羽生 信弘
- パロアルトネットワークス株式会社 システム エンジニア。海外製品を取り扱う販売代理店のエンジニアとして経験後、情報セキュリティの専門企業のSOCにてサイバー攻撃の分析及び、セキュリティ対策の提案に従事する。2014年よりパロアルトネットワークスに参画。