常に脅威となったランサムウェアへの対策は、主に不審なメールのリンクや添付ファイルを開かないことや、業務に関係ないWebサイトをアクセスしないなどがよく取り上げられますが、個人のモラルに頼っていては危険です。そのためにも、企業として特にエンドポイントのセキュリティについて、その対策と実装が必要です。
ランサムウェアの種類も数多くありますが、既知のマルウェアとして知られているものは、アンチウイルスソフトのパターンファイルを常に最新にしておくことでその大半を防御することができます。そして、マルウェアの多くは、OSやアプリケーションソフトなどの脆弱性を狙って攻撃してくるため、パターンファイルのみならず、Windowsや、PCにあるソフトウェアを修正パッチが適用された最新の状態に保っておくことが重要です。このあたりをユーザ任せにせず、可能な限りエンドポイントにある端末に搭載されているOSとアプリケーションを最新の状態に自動アップデートできる仕組みがあると理想的です。さもなければ、少なくともIT資産管理の一環として、各端末のソフトウェアのバージョン管理が一元的にできる仕組みが必要です。1か所でもエンドポイントに脆弱性が見つかると、攻撃者は、容赦なくそこを狙って攻撃し、ランサムウェアの侵入を許すことになりかねません。
既知の脅威に対しては、アンチウイルスソフトなどで対応もできますが、残念ながら亜種や新種のマルウェアは別の対策が必要です。まずは、エンドポイントへ侵入する前に業務に関係なさそうなデータや、疑わしいソフトなどを一旦サンドボックスなどの仮想領域で、過去の実績や現在の利用状況などのレピュテーションのチェックを行います。つまり、一時的に介入して振る舞いを検査して、問題がありそうなものはそのデータの侵入を阻止したり、隔離した上で判断できる様にします。
万が一、侵入を許してしまった場合も想定して、エンドポイントでのあらゆる操作を監視して、不審な動きがあれば阻止して通知できる仕組みがベストです。ランサムウェアは、たとえばPC内にあるファイルを暗号化して別の拡張子にファイル名を変更してアクセスできなくする事が知られていますが、そうした動きがあれば、直ちに管理者へ通知する仕組みがあれば迅速な対応が可能になります。中でも、ファイル操作を可能にする特別な権限を持った特権IDについては、特に注意して操作ログを監視することが重要です。この権限を乗っ取られ、PCの制御権が奪われるため、身代金要求に繋がるランサムウェアの被害が後を絶ちません。
どんなに監視を強化しても、実際に侵入された後では、どのようにして被害を最小限に留めるかも重要です。その最善策の一つが暗号化です。万が一、ランサムウェアによりPC内のデータを人質に取られて、バックドアからのネット流出により情報漏洩に繋がる結果になったとしても、暗号化されていれば第三者にそのデータの内容を知られるリスクをかなり減らすことができます。ユーザ個人の判断で暗号化を進めている場合は抜け漏れがあっては心配となり、丸ごとローカルディスクを暗号化していたとしても、ネットワーク接続されているファイルサーバの共有ファイルも危険です。こうしたことから、権限をもったIDで操作を行っても、暗号化していない状態では、Web上にデータをアップロードできない仕組みなどが望まれます。
この他にも、危険なWebサイトにアクセスできないような仕組みや、脆弱性診断を定期的に行うなどもランサムウェア対策として有効です。ランサムウェアも標的型攻撃として巧妙化して来ているため、どのようなセキュリティ対策をとるべきかじっくり検討して実施することが求められます。
ランサムウェアの特徴に則したセキュリティ対策が必要
