前回は、ランサムウェアとは?という内容で、ランサムウェアとは、そもそも何なのか?どんな被害があるのか?についてご紹介しました。今回はランサムウェアの被害に合わないために、どのような対策を講じるべきかをご紹介します。
【目次】
1.ランサムウェアへの基本的な対策
2.万が一感染してしまった場合の対応
1.ランサムウェアへの基本的な対策
ランサムウェアの対策は、PCのウイルス対策ソフトをアップデートしているだけでは防ぎきれません。メールやWebサイトを通じての感染だけでなく、標的側攻撃のような手法にて、企業内に侵入し、感染を広げます。そのため、ネットワークや、各PCやサーバ、システム全般についての対策を講じる必要があります。
・ネットワークの保護DMZ(DeMilitarized Zone)などに配置されたインターネット経由でアクセス可能で、LANともつながっているサーバなどを最低限にすることで侵入経路を狭めることができます。また、不要なポートが空いていないか、配置されたサーバに脆弱性がないかなどの、脆弱性診断も定期的に実施した方が良いです。 同様に、FTPやSSHなどでアクセス可能な場合のアカウントの管理なども慎重に行う必要があります。
LAN内では、不用意に悪性サイトにアクセスさせないようにフィルタリングサービスを利用する、メールの誤開封を防ぐためのメール訓練や、感染を極力さけられるように、OSやウイルス対策ソフトのパッチを最新の状態にしておくという基本的な対策も必要となります。
これらのサーバやPCなどの監視し、ログを監査することも重要になります。
・データの保護対策を講じても被害を受ける可能性はゼロではありません。そのため、重要なデータはバックアップをしておくことや、バックアップサーバは、ネットワークを別にすることや、複数のバックアップサーバを用意することも検討すべきです。
また、急ぎ復旧をさせようとしたところ、バックアップしていた情報から復元出来ないなどがないように、定期的に運用フローを見直しして、万が一に備えて、バックアップからの復元なども実施しておく必要もあります。
・BCP(事業継続計画)の策定重要ファイルにアクセスできなくなってしまった場合に、正常に事業運営ができなくなる可能性もあります。万が一に備えて、そうした場合での事業継続について計画を策定しておく必要もあります。
2.万が一感染してしまった場合の対応
まず、影響範囲をすぐに特定する必要があります。感染したPCやサーバが何台あるのか、ファイルサーバなどの重要端末に感染が広がっていないか、などです。 また、同様に侵入経路を特定する必要があります。個人が開いたメールなどであれば、まだ良いですが、システムの脆弱性をついてバックドアなどがしかけられていた場合、感染端末の除去やウイルスの駆除のみでは、その後に、また感染してしまうなど、被害が拡大する可能性があります。
そして、発見してすぐにネットワークを分離するなど、被害の拡大を防ぐことも大切になります。
セキュアブレインでは、サイバー攻撃監査サービス(https://www.securebrain.co.jp/products/cycraft/index.html )や、エンドポイント監視サービス(https://www.securebrain.co.jp/products/soc/index.html )を提供しています。
サイバー攻撃監査サービスは、自動ファストフォレンジックによるAI分析、インシデント調査、脅威ハンティング(侵害調査)を行い、すぐに活用可能なサイバー監査レポートを提供します。 CSIRT担当者や企業のシステム管理者は、AI によって導かれたサイバー攻撃監査レポートを活用し対策することで、フォレンジック調査時間の大幅短縮や二次被害のリスクを軽減します。
エンドポイント監視サービスは、従来のSOCサービスでは対応できなかったゲートウェイをすり抜けたマルウェアによる攻撃の分析を行うことが可能なSOCサービスです。EDRによりマルウェア感染の経路を追跡し、感染したPC やマルウェアの検体を高速に特定することで企業・組織を防御します。
ランサムウェアなどのサイバー攻撃対策をご検討の際は、お気軽にお問い合わせください。
https://www.securebrain.co.jp/form/service/inquiry_input.html