ランサムウェア対策

重要データの保護に効果的なランサムウェア対策ソリューション

ランサムウェアは、金銭目的の「サイバー恐喝」に利用される一般的な手口です。ファイルやアプリケーション、システムの暗号化またはロックにより利用不能の状態にして、「元の状態に戻したければ身代金を支払え」とユーザーを脅迫します。

ランサムウェアをはじめとする高度なサイバー攻撃への対策には、高度な検知および防御技術と具体的なインテリジェンス(脅威情報)の組み合わせが最も効果的です。FireEyeのソリューションは、増加と高度化の一途をたどるランサムウェアに対する保護機能を提供します。複数の攻撃経路に対応したリアルタイムのインライン保護により、ランサムウェアの実行を防止または抑止し、金銭的な損失や業務中断などの被害を未然に防ぎます。

Video

ランサムウェア:エンドポイントでの対策方法

FireEyeのランサムウェア対策ソリューションの仕組み

FireEyeのソリューションを構成する各コンポーネントは、サイバー・セキュリティを強化する特定の機能を提供します。次に紹介する各コンポーネントを導入、統合すると、非常に効果的なランサムウェア対策を実現できます。

FireEye Eメール・セキュリティ

疑わしいファイルをオフラインやクラウドで解析しようとすると、処理が間に合わず、ランサムウェアによるシステムやデータの暗号化を阻止できない場合があります。FireEye Eメール・セキュリティオンプレミス型のEX、またはクラウド型のETP)は、メール転送エージェント(MTA)としてインラインで運用可能です。ランサムウェアが含まれるEメールをメール受信者の手前で隔離し、解析、ブロックできます。

ストア・アンド・フォワード・アーキテクチャと、ほぼリアルタイムの高速解析技術を採用した高度なEメール・セキュリティにより、ビジネスへの影響を最小限に抑えながら、多くのランサムウェア攻撃を未然に阻止できます。

FireEyeエンドポイント・セキュリティ

エンドポイントは、ランサムウェア攻撃で真っ先に狙われるターゲットです。多くのランサムウェア攻撃は、容易には検知できない巧妙なプロセスを用いて、広く使用されているアプリケーションの脆弱性を悪用しようと試みます。FireEyeエンドポイント・セキュリティは、この脆弱性の悪用プロセスを検知・解析して、インシデントの阻止に必要なアナリスト向けの情報を提供します。アナリストは、エンドポイントの可視化情報を使用して詳細な調査を実施し、被害の最小化と、将来の攻撃に備えた対策の実施に努めることができます。

FireEyeネットワーク・セキュリティ

ランサムウェアの侵入プロセスは、最初の感染、ファイルの暗号化、C&Cサーバーへのアクセスという主に3つの段階で構成されています。FireEyeネットワーク・セキュリティは、このプロセスを発見し、暗号化された不正なコードをユーザーのシステムに送り込むサーバーとの通信やコールバック通信を検知・遮断します。

サンドボックス・ソリューションでは太刀打ちできない攻撃に、FireEyeネットワーク・セキュリティが対処できる理由は、FireEye Multi-Vector Virtual Execution™(MVX)エンジンにあります。FireEyeネットワーク・セキュリティの中核を構成するMVXエンジンは、ネットワーク・トラフィックを解析し、複数のフェーズにわたる攻撃(暗号化されたマルウェアを含む)を検知します。

FireEyeの脅威インテリジェンス

お客様が運用しているすべてのFireEyeアプライアンスは、FireEye Dynamic Threat Intelligence(DTI)を介して、進化し続けるランサムウェアの攻撃手法の検知に貢献します。FireEye DTIは、マルウェア・トレンドやランサムウェア攻撃キャンペーンの詳細情報を解析、集約し、その結果を1時間おきに配信する情報サービスです。

FireEyeでは、DTIの他にiSIGHTインテリジェンスというサービスも提供しています。このサービスでは、組織が直面するセキュリティ・リスクと、ランサムウェアなど最新のセキュリティ脅威への対応を管理するための、戦術、運用、戦略上の具体的な情報を提供します。この脅威情報は、攻撃者の開発環境やツール、戦術、手順(TTP)に対する深い理解と、数百件に及ぶ豊富なインシデント対応経験に基づいてまとめられています。FireEyeでは、豊富なコンテキストを含み、随時更新、共有されるこれらの情報源をもとに、業界有数の情報ネットワークを構築しており、このネットワークを通じて、ランサムウェア攻撃の予測・検知・対応を支援しています。

お客様のコメント

“幸いなことに、メディアで報道されるようなセキュリティ侵害を受けずに済んでいます。これもひとえに、FireEye製品のおかげです”

- ジェレミー・テイラー(Jeremy Taylor)氏、, ネットワーク・マネージャ、AAFCU

Air Academy Federal Credit Union

米航空学校信用組合(AAFCU)
米国の航空学校信用組合では、FireEyeの製品を利用して、最先端のサイバー・セキュリティ対策を実施しています。

増大するランサムウェアの脅威

ランサムウェアによる被害は、2015年半ば以降、規模の大小を問わず多くの組織に広がっています。その中でも特に狙われやすいのが、データ中心の事業を展開しながら、予算や人員に制限がある小中規模の組織です。

ランサムウェア攻撃のプロセス

実際に報告されているランサムウェア感染の多くは、Eメールの添付ファイルやリンク経由で発生しています。多くの攻撃者は、利益を最大化するため、ソーシャル・エンジニアリングやスピア・フィッシング攻撃で特定の個人や価値の高いコンピュータ・システムを狙い撃ちにしています。

Web経由のランサムウェア攻撃では、エクスプロイト・キットを利用して「ドライブバイ・ダウンロード」(自動ダウンロード)を仕掛ける手法が一般的です。この攻撃手法では、Webブラウザやアプリケーション、システムに存在する脆弱性を、次のように複数の段階を経て悪用します。

第1段階:正規のWebサイトまたは広告ネットワークをハッキングして、不正なコードを仕掛ける。

第2段階:Webサイトや広告にアクセスしたユーザーのシステム・プロファイルを調べ、エクスプロイト・キットを仕掛けた別のWebページにリダイレクトする。このエクスプロイト・キットは、古いバージョンのJavaやFlashなどに含まれる脆弱性を悪用する。

第3段階:暗号化、難読化、またはエンコードした不正なペイロードをユーザーのシステムに送り付ける。このペイロードが復号化された時点でランサムウェアが動作を開始する。

第4段階:コールバック・サーバーとの接続を確立し、ユーザーのデータを暗号化する一意の暗号鍵を準備する。

ランサムウェア被害が拡大する理由

高度な攻撃者は、実際に攻撃を開始する前に、アンチウイルス・ソフトウェアや次世代ファイアウォール、セキュア・メール/Webゲートウェイ、侵入防御システム(IPS)など、従来型のセキュリティ対策で検知されるかどうかを確認し、必要に応じて手口を修正します。従来型のセキュリティ対策で採用されている静的な解析やシグネチャ・マッチングなどの手法には、次のような欠点があります。

  • 絶え間なく進化を遂げるサイバー攻撃に追随できない
  • まったく新しい未知のセキュリティ脅威をリアルタイムで検知できるよう、運用を最適化、自動化できない
  • 感染ホストと外部のC&Cサーバー間で行われる、独自プロトコルによる暗号化通信を検知できない
  • WebまたはEメール経由で段階的に実施され、従来型のサンドボックスをすり抜けるランサム攻撃に対応できない

 

 

ランサムウェアがEメール経由で感染する方法

ランサムウェアがEメール経由で感染する方法

 

ランサムウェアがWeb経由で感染する方法

ランサムウェアがWeb経由で感染する方法

lindsay-white-logo

導入事例(英語)を読む
Lindsay Automotive Groupは急成長を遂げる事業において、Eメール経由の攻撃をブロックしています。

お客様のコメント

“政府機関やFortune 50の企業が使用しているセキュリティ・ソリューションと同じソリューションで、弊社の環境を保護できるとは思っていませんでした。これで安心して眠ることができます”

- ポール・モリーン(Paul Moline)氏, 最高情報責任者(CIO)、Lindsay Automotive Group

参考資料

関連リソース

さあ、今すぐ始めましょう。

FireEyeのソリューションやその導入方法など、疑問点は何なりとお尋ねください。
当社が誇るセキュリティの専門家が、いつでもお答えできるよう準備してお待ちしています。

+81 3 4577 4401 +1 888-227-2721 +61 281034308 +32 28962867 +1 877-347-3393 +971 45501444 +358 942451151 +33 170612726 +49 35185034500 +852 3975-1882 +91 80 6671 1566 +353 (0)216019160 +39 0294750535 +03 77248276 +52 5585268207 +31 207941289 +64 32880234 +48 223072296 +7 4954658084 +65 31585101 +27 105008408 +82 7076860238 +34 932203202 +94 788155851 +46 853520870 +886 2-5551-1268 +27873392 +44 2036087538 +842444581914