ランサムウェア対策

重要データの保護に効果的なランサムウェア対策ソリューション

ランサムウェアは、金銭目的の「サイバー恐喝」に利用される一般的な手口です。ファイルやアプリケーション、システムの暗号化またはロックにより利用不能の状態にして、「元の状態に戻したければ身代金を支払え」とユーザーを脅迫します。

ランサムウェアをはじめとする高度なサイバー攻撃への対策には、高度な検知および防御技術と具体的なインテリジェンス(脅威情報)の組み合わせが最も効果的です。FireEyeのソリューションは、増加と高度化の一途をたどるランサムウェアに対する保護機能を提供します。複数の攻撃経路に対応したリアルタイムのインライン保護により、ランサムウェアの実行を防止または抑止し、金銭的な損失や業務中断などの被害を未然に防ぎます。

ランサムウェア:エンドポイントでの対策方法

ランサムウェア攻撃の発生を示唆するエンドポイントの動作を予防的に監視・検査して、封じ込める方法について解説します。(動画 - 3分15秒)

FireEyeのランサムウェア対策ソリューションの仕組み

FireEyeのソリューションを構成する各コンポーネントは、サイバー・セキュリティを強化する特定の機能を提供します。次に紹介する各コンポーネントを導入、統合すると、非常に効果的なランサムウェア対策を実現できます。

FireEye Eメール・セキュリティ

疑わしいファイルをオフラインやクラウドで解析しようとすると、処理が間に合わず、ランサムウェアによるシステムやデータの暗号化を阻止できない場合があります。FireEye Eメール・セキュリティオンプレミス型のEX、またはクラウド型のETP)は、メール転送エージェント(MTA)としてインラインで運用可能です。ランサムウェアが含まれるEメールをメール受信者の手前で隔離し、解析、ブロックできます。

ストア・アンド・フォワード・アーキテクチャと、ほぼリアルタイムの高速解析技術を採用した高度なEメール・セキュリティにより、ビジネスへの影響を最小限に抑えながら、多くのランサムウェア攻撃を未然に阻止できます。

FireEyeエンドポイント・セキュリティ

エンドポイントは、ランサムウェア攻撃で真っ先に狙われるターゲットです。多くのランサムウェア攻撃は、容易には検知できない巧妙なプロセスを用いて、広く使用されているアプリケーションの脆弱性を悪用しようと試みます。FireEyeエンドポイント・セキュリティは、この脆弱性の悪用プロセスを検知・解析して、インシデントの阻止に必要なアナリスト向けの情報を提供します。アナリストは、エンドポイントの可視化情報を使用して詳細な調査を実施し、被害の最小化と、将来の攻撃に備えた対策の実施に努めることができます。

FireEyeネットワーク・セキュリティ

ランサムウェアの侵入プロセスは、最初の感染、ファイルの暗号化、C&Cサーバーへのアクセスという主に3つの段階で構成されています。FireEyeネットワーク・セキュリティは、このプロセスを発見し、暗号化された不正なコードをユーザーのシステムに送り込むサーバーとの通信やコールバック通信を検知・遮断します。

サンドボックス・ソリューションでは太刀打ちできない攻撃に、FireEyeネットワーク・セキュリティが対処できる理由は、FireEye Multi-Vector Virtual Execution™(MVX)エンジンにあります。FireEyeネットワーク・セキュリティの中核を構成するMVXエンジンは、ネットワーク・トラフィックを解析し、複数のフェーズにわたる攻撃(暗号化されたマルウェアを含む)を検知します。

FireEyeの脅威情報

お客様が運用しているすべてのFireEyeアプライアンスは、FireEye Dynamic Threat Intelligence(DTI)を介して、進化し続けるランサムウェアの攻撃手法の検知に貢献します。FireEye DTIは、マルウェア・トレンドやランサムウェア攻撃キャンペーンの詳細情報を解析、集約し、その結果を1時間おきに配信する情報サービスです。

FireEyeでは、DTIの他にiSIGHTインテリジェンスというサービスも提供しています。このサービスでは、組織が直面するセキュリティ・リスクと、ランサムウェアなど最新のセキュリティ脅威への対応を管理するための、戦術、運用、戦略上の具体的な情報を提供します。この脅威情報は、攻撃者の開発環境やツール、戦術、手順(TTP)に対する深い理解と、数百件に及ぶ豊富なインシデント対応経験に基づいてまとめられています。FireEyeでは、豊富なコンテキストを含み、随時更新、共有されるこれらの情報源をもとに、業界有数の情報ネットワークを構築しており、このネットワークを通じて、ランサムウェア攻撃の予測・検知・対応を支援しています。



米航空学校信用組合(AAFCU)

米国の航空学校信用組合では、FireEyeの製品を利用して、最先端のサイバー・セキュリティ対策を実施しています。

お客様事例を読む


“幸いなことに、メディアで報道されるようなセキュリティ侵害を受けずに済んでいます。これもひとえに、FireEye製品のおかげです”

- ジェレミー・テイラー(Jeremy Taylor)氏、, ネットワーク・マネージャ、AAFCU


増大するランサムウェアの脅威

ランサムウェアによる被害は、2015年半ば以降、規模の大小を問わず多くの組織に広がっています。その中でも特に狙われやすいのが、データ中心の事業を展開しながら、予算や人員に制限がある小中規模の組織です。

ランサムウェア攻撃のプロセス

実際に報告されているランサムウェア感染の多くは、Eメールの添付ファイルやリンク経由で発生しています。多くの攻撃者は、利益を最大化するため、ソーシャル・エンジニアリングやスピア・フィッシング攻撃で特定の個人や価値の高いコンピュータ・システムを狙い撃ちにしています。

Web経由のランサムウェア攻撃では、エクスプロイト・キットを利用して「ドライブバイ・ダウンロード」(自動ダウンロード)を仕掛ける手法が一般的です。この攻撃手法では、Webブラウザやアプリケーション、システムに存在する脆弱性を、次のように複数の段階を経て悪用します。

第1段階:正規のWebサイトまたは広告ネットワークをハッキングして、不正なコードを仕掛ける。

第2段階:Webサイトや広告にアクセスしたユーザーのシステム・プロファイルを調べ、エクスプロイト・キットを仕掛けた別のWebページにリダイレクトする。このエクスプロイト・キットは、古いバージョンのJavaやFlashなどに含まれる脆弱性を悪用する。

第3段階:暗号化、難読化、またはエンコードした不正なペイロードをユーザーのシステムに送り付ける。このペイロードが復号化された時点でランサムウェアが動作を開始する。

第4段階:コールバック・サーバーとの接続を確立し、ユーザーのデータを暗号化する一意の暗号鍵を準備する。

ランサムウェア被害が拡大する理由

高度な攻撃者は、実際に攻撃を開始する前に、アンチウイルス・ソフトウェアや次世代ファイアウォール、セキュア・メール/Webゲートウェイ、侵入防御システム(IPS)など、従来型のセキュリティ対策で検知されるかどうかを確認し、必要に応じて手口を修正します。従来型のセキュリティ対策で採用されている静的な解析やシグネチャ・マッチングなどの手法には、次のような欠点があります。

  • 絶え間なく進化を遂げるサイバー攻撃に追随できない
  • まったく新しい未知のセキュリティ脅威をリアルタイムで検知できるよう、運用を最適化、自動化できない
  • 感染ホストと外部のC&Cサーバー間で行われる、独自プロトコルによる暗号化通信を検知できない
  • WebまたはEメール経由で段階的に実施され、従来型のサンドボックスをすり抜けるランサム攻撃に対応できない

 

 

ランサムウェアがEメール経由で感染する方法

ランサムウェアがEメール経由で感染する方法

 

ランサムウェアがWeb経由で感染する方法

ランサムウェアがWeb経由で感染する方法


 

“FireEye製品は先ごろ、ランサムウェア攻撃や認証情報の窃取など、EメールやWebサイトを経由する重大な標的型攻撃を複数ブロックしてくれました。これだけでも、FireEye製品を導入した価値が十分以上にあったというものです”

- スティーブン・ショマー(Stephen Schommer)氏、, IT担当責任者、ノースショア公共事業区

事例:米ノースショア公共事業区

米国、ワシントン州のノースショア公共事業区は、FireEyeのネットワーク・セキュリティ、Eメール・セキュリティ、フォレンジックの各ソリューションで重要インフラを保護しています。

お客様事例(英語)を読む

効果的なランサムウェアへの対応戦略

ランサムウェアに対する強固でレジリエントな保護を実現するセキュリティ対策の構築方法を解説します。

ホワイトペーパーをダウンロード

台頭するランサムウェア

ランサムウェアの最新トレンドと、ランサムウェア攻撃への対応方法、対策の改善方法を解説します。

録画を視聴する

ヘルスケア分野で活用されるランサムウェア対策の脅威情報

ランサムウェアによるビジネスへの影響を回避するための戦略について解説します。

録画を視聴する


最新のランサムウェア情報

参考資料