人間が操作するランサムウェア攻撃を軽減する方法:インフォグラフィック

以前は、誰かがあなたのコンピュータを乗っ取らなければならない場合、それは通常、物理的にそこにいるか、リモートアクセスを使用することによってあなたのコンピュータを手に入れることによって可能でした。世界は自動化を進めていますが、コンピューターのセキュリティは厳しくなっていますが、変わっていないのは人間のミスです。そこで、人間が操作するランサムウェア攻撃(Human-operated Ransomware Attacks)が登場します。これらは、コンピューターの脆弱性または誤って構成されたセキュリティを見つけてアクセスする手作りの攻撃です。マイクロソフトは、IT管理者がこれらの人間が操作する(Microsoft)ランサムウェア攻撃(Ransomware attacks)を大幅に軽減できると結論付ける徹底的なケーススタディを考案しました。

人間が操作するランサムウェア攻撃を軽減する

人間が操作するランサムウェア攻撃の(Human-operated Ransomware Attacks)軽減

Microsoftによると、これらの種類のランサムウェアや手作りのキャンペーンを軽減する最善の方法は、エンドポイント間の不要な通信をすべてブロックすることです。また、多要素認証(Multi-Factor Authentication)、ブルートフォースの試行の監視、最新のセキュリティ更新プログラムのインストールなど、資格管理のベストプラクティスに従うことも同様に重要です。取るべき防御策の完全なリストは次のとおりです。

  • インターネットに接続されているコンピューターを保護するために、 Microsoftが推奨する構成設定(recommended configuration settings)を必ず適用してください。
  • Defender ATPは、脅威と脆弱性の管理を(threat and vulnerability management)提供します。これを使用して、脆弱性、構成の誤り、および疑わしいアクティビティについてマシンを定期的に監査できます。
  • Azure Multi-Factor AuthenticationMFA )などのMFAゲートウェイ(MFA gateway)を使用するか、ネットワークレベル認証(NLA)を有効にします。
  • アカウントに最小特権を(least-privilege to accounts)提供し、必要な場合にのみアクセスを有効にします。ドメイン全体の管理者レベルのアクセス権を持つアカウントは、最小またはゼロである必要があります。
  • ローカル管理者パスワードソリューション(LAPS )ツールなどのツールは、管理者アカウントに一意のランダムパスワードを構成できます。それらをActiveDirectory(Active Directory)(AD)に保存し、ACLを使用して保護できます。
  • ブルートフォース攻撃を監視します。特に認証の試行に失敗する(failed authentication attempts. )ことが多い場合は、注意が必要です。イベントID4625を使用して(ID 4625)フィルタリング(Filter)し、そのようなエントリを見つけます。
  • 攻撃者は通常、セキュリティイベントログとPowerShell操作ログ(Security Event logs and PowerShell Operational log)をクリアして、すべてのフットプリントを削除します。これが発生すると、MicrosoftDefenderATPはイベント(Event ID 1102)ID1102(Microsoft Defender ATP)を生成します。
  • 改ざん防止(Tamper protection)(Tamper protection)機能をオンにして、攻撃者がセキュリティ機能をオフにできないようにします。
  • (Investigate)イベントID4624を(ID 4624)調べて、高い特権を持つアカウントがログオンしている場所を見つけます。侵害されたネットワークやコンピューターに侵入した場合、それはより重大な脅威となる可能性があります。
  • (Turn on cloud-delivered protection)Windows Defender Antivirusで(Windows Defender Antivirus)、クラウド配信の保護と自動サンプル送信をオンにします。未知の脅威からあなたを守ります。
  • 攻撃対象領域の削減ルールをオンにします。これに加えて、クレデンシャルの盗難、ランサムウェアアクティビティ、およびPsExecWMIの疑わしい使用をブロックするルールを有効にします。
  • Office(Office VBA)  365を使用している場合は、OfficeVBAのAMSIをオンにし ます。
  • (Prevent RPC)可能な限り、エンドポイント間のRPCおよびSMB通信を(SMB)防止します。

読む(Read)Windows10でのランサムウェア保護(Ransomware protection in Windows 10)

Microsoftは、Wadhrama 、DoppelpaymerRyukSamasREvilのケーススタディを発表しました。(Wadhrama)

  • Wadhramaは、ブルートフォースを使用してリモートデスクトップ(Remote Desktop)を備えたサーバーに配信されます。彼らは通常、パッチが適用されていないシステムを発見し、開示された脆弱性を使用して初期アクセスを取得したり、特権を昇格させたりします。
  • Doppelpaymerは、特権アカウントの盗まれた資格情報を使用して、侵害されたネットワークを介して手動で拡散されます。そのため、すべてのコンピューターの推奨構成設定に従うことが不可欠です。
  • Ryukは、エンドユーザーをだまして他のことを行うことにより、電子メール(Trickboat )を介してペイロードを配布します。(Trickboat)最近、ハッカーはコロナウイルスの恐怖を利用してエンドユーザーをだましました。そのうちの1つは、 Emotetペイロードを配信することもできました。

それぞれに共通しているの(common thing about each of them)は、状況に基づいて構築されていることです。彼らは、あるマシンから別のマシンに移動してペイロードを配信するゴリラ戦術を実行しているようです。IT管​​理者は、たとえ小規模であっても、進行中の攻撃を監視するだけでなく、ネットワークの保護にどのように役立つかについて従業員を教育することが不可欠です。

すべてのIT管理者が提案に従い、人間が操作するランサムウェア(Ransomware)攻撃を確実に軽減できることを願っています。

関連(Related read)記事:Windowsコンピュータに対するランサムウェア攻撃の後に何をすべきか?(What to do after a Ransomware attack on your Windows computer?)



直樹 村山

About the author

私は 10 年以上の経験と Android デバイスでの作業経験を持つコンピューター技術者です。また、過去 5 年間オフィスで働いており、Office 365 と MacOS の使い方を学びました。余暇には、屋外で音楽を演奏したり、映画を見たりするのを楽しんでいます。


Related posts