ランサムウェアへの対策:積極的な取り組みのためのヒント
攻撃の予防やその認識のために重要なのは、脆弱なベクトルやアクセスポイントについて理解することだ。メールは最初の媒介者(マルウェアのフィッシングメールなど)なので、フィッシング行為に対するユーザーの意識を高め、従業員が危険を察知できるようにすることが重要なのだ。
また、次のようなデバイス設定管理の強化も非常に重要である。
・検疫サーバ(.exestripルール)が有効になっていることを確認。これによって、メールの中に含まれる可能性のあるZIPやJavaScriptといったファイルや実行ファイルを止めることができる ・特に感染が広がっている時期は、パスワードで保護された圧縮ファイルをブロック ・URLベースあるいはカプセル化されたOfficeドキュメントベースファイルは、動作解析機能がメール環境で利用可能であれば、動作解析を行う。 ・関連するマルウェア情報の掲示(例えば、マイクロソフトのセキュリティ更新プログラム、「MS17-010」では「Samba/SMBのリモートでコードが実行される脆弱性」が指摘され、パッチの運用を推奨している)で指摘のあった脆弱性に対してシステムに確実にパッチを施すことで、ランサムウェアのネットワークワームの挙動を除去し、拡散の可能性を大きく制限することができる
フィッシング以外にWannaCryの攻撃は、脆弱性を悪用して不正アクセスを実行し、対象端末にバックドアを仕掛けるというものだ。感染した端末を踏み台にして、他のデバイスやシステムへの拡散を促す。ここでも感染を防ぐためにパッチを施すことで、複数のデバイスを保護できる。
エンドポイントの脆弱性を改善し、リスクを最小化する
ランサムウェアの脅威への懸念は今後もますます高まるだろう。WannaCryが猛威を振るう前に、これほどの被害になるとだれが予想できただろう。結局、被害を封じ込めるための方法とは、意識向上、自動化、IT資産管理プログラムの強化、そして回復力のある多層防御構造だ。
ハッカーは、脆弱なデバイスのあることをよく知っていた。企業のIT部門はなぜ気づかなかったのだろうか。エンドポイントがどこにあるかを知り、エンドポイント・エージェントの存在と状態を理解し、パッチ管理システムがうまく作動しているか、これらの把握が極めて重要だ。Absoluteのソリューションは、デバイスが企業ネットワークに接続しているか否かに関わらず、状況を可視化するのである。
企業や政府機関は、パッチが利用できない、またはシステムを容易に維持できない時にしばしば、新たな脅威に対して迅速に対応する必要に迫られる。われわれで言えば、感染後の発見機能、および封じ込め機能によって、従来の手動プロセスより早く効果的に、感染したデバイスを発見し、封じ込められる。
また、Absoluteが提供する「パーシスタンステクノロジ」は、ネットワークに接続しているか否かに関わらず、企業はデバイスやデータ、アプリケーション、ユーザーを可視化できるようにしている。われわれは、ITのプロが脆弱なエンドポイントを発見してその脆弱性を解消し、感染したデバイスを拡散前に隔離するためのツールを提供する。未パッチのエンドポイントを発見し、隔離することにより、迅速に脆弱性を解消できるのである。
