How to Protect Against Ransomware

Technical Brief
ランサムウェアからの保護
Intel® Securityの製品を使用した昨今のランサムウェアによる脅威からの
防御手法を解説します。
ランサムウェアは非対称暗号方式を利用したマルウェアで、被害者のデータをランダムな値
に変換します。非対称暗号方式（公開
暗号方式）とは、のペアを使用してファイルの暗号
化と復号化を行う暗号化技術です。攻撃者は標的ごとに固有の
ペア（公開
/ 秘密）を
生成した後、ファイルの復号に使用する秘密は攻撃者のサーバーに格納します。攻撃者は
身代金の支払いと引き換えに秘密を渡すとしていますが、最近のランサムウェアを見ると、
言葉どおり秘密
が渡されるとは限りません。秘密
がなければ、身代金目的で人質として
取られたファイルの復号はほぼ不可能です。
現在、ランサムウェアには非常に多くのバリエーションが存在します。ランサムウェア（および他のマルウェア）は、
「スパム」
メールを経由して拡散することが一般的ですが、標的型攻撃が使われることもあります。Intel® Security の製品には、ラン
サムウェアからの保護に役立つ数多くのテクノロジーが搭載されています。以下にさまざまなタイプのランサムウェアから
保護するための McAfee® ソリューションと関連するコンフィギュレーションを紹介します。
McAfee VirusScan® Enterprise 8.8、または McAfee Endpoint Security 10
■
■
DAT ファイルを最新の状態に維持する。
McAfee Global Threat Intelligence（McAfee GTI）を利用すること。これにはそれぞれ異なる 400 万件以上
のランサムウェアのシグネチャが含まれています。
■
ランサムウェアのインストールと展開を止めるためのアクセス保護ルールを設定する。
– アクセス保護ルールについてはナレッジベースを参照ください：KB81095、KB54812
McAfee Host Intrusion Prevention
■
Host Intrusion Prevention のシグネチャ 3894 のアクセス保護を有効可する。これにより、Windows の実行ファ
イル以外から svchost.exe が実行されないようにします。
■
Host Intrusion Prevention のシグネチャ 6010 と 6011 を有効可することで、侵入を迅速にブロックします。
McAfee Host Intrusion Prevention のルール
McAfee Host Intrusion Prevention System は、対象とすべきファイルの作成に対する監視と、閲覧、書き込み、
実行、削除、名前の変更、属性の変更、およびハードリンクの作成をサポートしています。ファイルのパスやファイルの種類
によって警告を出すか出さないかの定義や、対象に含める実行ファイル（既知の有害なデータソースの場合）
または含めない
（誤検知の予防）かを定義します。しかし、このタイプのルールは、潜在的に侵入を受ける可能性があるため、トライアル期
間中は情報 / ログモードでのルールの適用を検討してください。ファイル保護ルールを利用するには、信頼済のアプリケー
ションデータベースの構築が必要ですのでご注意ください。
Technical Brief
Rule: Cryptolocker—block EXE in AppData
Rule type: files
Operations: create, execute, write
Parameters:
•Include: Files: **\AppData\*.exe
•Include: Files: **\AppData\Local\*.exe
•Include: Files: **\AppData\Roaming\*.exe
Executables: Include *.*
紙面のスペースの都合上、以下の例では多くのファイル拡張子が省略されています。対象となるアプリケーションのすべて
のファイルの拡張子を必ずチェックしてください。
Rule {
tag “Blocking a Non-Trusted program attempt to write to protected data file
extensions”
Class Files
Id 4001
level 4
files {Include “*\\*.3DS” “*\\*.7Z” “*\\*.AB4” “*\\*.AC2” “*\\*.ACCDB” “*\\*.ACCDE”
“*\\*.ACCDR” “*\\**.ACCDT” “*\\*.ACR” “*\\*.ADB” “*\\*.AI” “*\\*.AIT” “*\\*.al”
“*\\*.APJ” “*\\*.ARW” “*\\*.ASM” “*\\*.ASP” “*\\*.BACKUP” “*\\*.BAK” “*\\*.BDB”
“*\\*.BGT” “*\\*.BIK” “*\\*.BKP” “*\\*.BLEND” “*\\*.BPW” “*\\*.C” “*\\*.CDF” “*\\*.
CDR” “*\\*.CDX” “*\\*.CE1” “*\\*.CE2” “*\\*.CER” “*\\*.CFP” “*\\*.SRF” “*\\*.SRW”
“*\\*.ST4” “*\\*.ST5” “*\\*.ST6” “*\\*.ST7” “*\\*.ST8” “*\\*.STC” “*\\*.STD” “*\\*.
STI” “*\\*.STW” “*\\*.STX” “*\\*.SXC” “*\\*.SXD” “*\\*.SXG” “*\\*.SXI” “*\\*.SXM”
“*\\*.SXW” “*\\*.TXT” “*\\*.WB2” “*\\*.X3F” “*\\*.XLA” “*\\*.XLAM” “*\\*.XLL” “*\\*.
XLM” “*\\*.XLS” “*\\*.XLSB” “*\\*.XLSM” “*\\*.XLSX” “*\\*.XLT” “*\\*.XLTM” “*\\*.
XLTX” “*\\*.XLW” “*\\*.XML” “*\\*.ZIP”}
Executable {Include “*”}
user_name{Include “*”}
directives files:writefiles:renamefiles:delete
}
■
アクセス保護ルール：また、次のように柔軟性に配慮してワイルドカードを使用して Host Intrusion Prevention
System のルールを設定することで、McAfee アクセス保護ルールを強化することが可能です。
**\Users\**\AppData\**\*.exe
注意：新しいバージョンの McAfee VirusScan Enterprise、McAfee Agent、Host Intrusion Prevention
「ブロックするファイル名かフォ
System、おびよ Data Loss Prevention で提供される最新バージョンの SYSCore では、
ルダ名」の欄の開始部分のワイルドカード（**）は機能しません。新しいバージョンをご利用の場合、次の形式を使用してく
ださい。
C:\**\AppData\**.exe
この形式を使用すると、Cドライブ上のルートおよびサブディレクトリにある AppData という名前のフォルダ内のすべて
の .exe へのアクセスをブロックします。
このようなタイプのルールがもたらす反復処理には、ほぼ制限がないため、ルールのあらゆる側面について慎重に検討して
ください。該当のルールのあらゆる側面に関しての検討、この設定がもたらす機能上の想定、およびルール全体の設定に
ついては、以下の例をご覧ください。
ランサムウェアからの保護
2
Technical Brief
Process to include: *
Process to exclude: Leave blank
File or folder name to block: <path or directory>
File actions to prevent: Whatever actions you want (recommend that you start with
less aggressive actions to minimize possible damage to endpoint)
McAfee SiteAdvisor® Enterprise、または Endpoint Security Web Protection
■
ウェブサイトのレピュテーションを使用して、ランサムウェアが配布されているウェブサイトへのユーザーのアクセスを
警告および防御します。
McAfee Threat Intelligence Exchange、および Advanced Threat Defense
■
Threat Intelligence Exchange のポリシー設定について：
– まず観察モードから始めてください。エンドポイントで不審なプロセスが発見されるにしたがい、システムタグを使
用して Threat Intelligence Exchange の実施ポリシーを適用してください。
– 除去：既知の悪意のあるプロセス。
– ブロック：悪意のあるプロセスの可能性が大きいもの（未知のプロセスをブロックすると保護能力が向上しますが、
最初は管理上の負担が増加します）。
– 未知のプロセスについて、ファイルを McAfee Advanced Threat Defense に送信してください。
– Threat Intelligence Exchange Server のポリシー：Threat Intelligence Exchange がまだ把握してい
ないファイルについては、Advanced Threat Defense のレピュテーションを適用してください。
■
Threat Intelligence Exchange のマニュアル操作：
– ファイルのレピュテーションの適用（オペレーションモードの対象）、悪意のあるプロセスの可能性が大きければ：
除去 / 削除
– 悪意のあるプロセスの可能性あり：ブロック
■
企業（組織）のレピュテーションを McAfee GTI に上書きすることが可能：
– サポート外のアプリや脆弱性を持つアプリなど、不要なプロセスをブロックすることが可能です。
– 悪意のあるプロセスの可能性あり、としてファイルにマークをします。
■
または、
「テスト」の目的で、好ましくないプロセスを許可することができます。
– 信頼できるプロセスの可能性あり、としてファイルにマークをします。
McAfee Advanced Threat Defence のランサムウェアからの防御機能
■
標準での防御機能：
– シグネチャベースの検出 - CTB-Locker、CryptoWall、およびそれらのバリエーションを含む、マカフィーラボ
が保有する 1 億 5,000 万件を超えるシグネチャを使用して検出します。
– レピュテーションベースの検出 - McAfee GTI
– リアルタイムな静的分析とエミュレーション - シグネチャのないプロセスの検出に使用されます。
– YARA ルールのカスタマイズ
– 完全な静的コード分析 - コードの中身をリバースエンジニアリングして、属性と関数セットを評価することで、実行
せずにソースコードを完全に分析します。
– サンドボックスを使用した動的な分析
■
もっともランサムウェアの動作が疑われるマシンのアナライザープロファイルを作成する：
– Windows 7、8、XP のような一般的な OS
– Windows アプリケーション（Word、Excel）をインストールして、マクロを有効化する
■
アナライザープロファイルにインターネットへのアクセスを許可：
– 多くの検体は、Microsoftドキュメントのスクリプトを実行して外部に接続し、マルウェアの活動を開始します。
アナライザープロファイルにインターネット接続を許可すると、検出率が向上します。
ランサムウェアからの保護
3
Technical Brief
McAfee Network Security Platform
■
Network Security Platform は、デフォルトのポリシー内の以下のシグネチャで検出できます。
– id=0x4880f900 のシグネチャ（ランサムウェアに固有のもの）があることを確認します。
– また、Network Security Platform は、マルウェア関連のファイルの転送用に使用される可能性のある TOR
を検出するシグネチャも持っています。
– Advanced Threat Defense と連携し、新しい攻撃に対応：
–「高度なマルウェアポリシー」で、Advanced Threat Defense との連携を設定してください。
– 検査のために、.exe ファイル、Microsoft Office ファイル、Java アーカイブ、および PDF ファイルを
Advanced Threat Protection に送信するよう Network Security Platform を設定してください。
– Advanced Threat Protection のセンサーで高度なレベルの設定が適用されていることを確認してください。
■
コールバック通信の検出ルール（ボットネット用）をアップデートしてください。
McAfee Web Gateway
■
無効な場合、McAfee Gateway アンチマルウェア検出機能を有効にします。
■
URL およびファイルのレピュテーションに、GTI を有効にします。
■
サンドボックスとゼロデイ攻撃の検知を可能にするために Advanced Threat Defense と連携してください。
VirusTotal Convicter：自動化された対応
■
Convicter は、McAfee ePolicy Orchestratore®（McAfee ePO（TM））の自動対応システムから起動される
Python スクリプトで、McAfee Threat Intelligence Exchange が生成した脅威イベントのファイルと
VirusTotal とを相互参照します。
■
スクリプトを修正して、GetSusp などの別の脅威インテリジェンスを参照することも可能です。
■
コミュニティ内の意見が一定の基準を満たした場合、このスクリプトにより自動的に企業のレピュテーションが設定され
ます。
■
評価判定の基準値：30% のベンダーと 2 社のメジャーなベンダーの同意が必要です。
■
フィルター：対象のファイル名に以下は含まれません。McAfeeTestSample.exe.
■
VirusTotal Convicter はコミュニティによる無料のツールです（McAfee/Intel Security のサポート外です）。
McAfee Active Response
Active Response は、高度な脅威を発見して対応できるよう設計されています。Active Response を McAfee
Labs、Dell SecureWorks、ThreatConnect などのセキュリティ脅威の情報と関連づけて利用すると、ランサムウェア
を含む最新の脅威を検索して拡散する前に根絶することができます。
■
■
収集ツールをカスタマイズすると、ランサムウェアに関連する侵害指標（IoC）を独自に設定することが可能です。
ユーザーはトリガーや対応アクションを設定して、特定の条件に合致した場合のアクションを定義することが可能です。
たとえば、特定のハッシュやファイル名を発見したときに、
「削除」のアクションを自動的に行うことができます。
Intel と Intel および McAfee のロゴは、米国およびその他の国における Intel Corporation または McAfee の商標です。● 本書中のその他の登録商標及び商標はそれぞ
れその所有者に帰属します。 ©2016 McAfee, Inc. All Rights Reserved. ● 製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せくだ
さい。 ● 製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。
MCATB-MFE-1604-GRP
www.intelsecurity.com/jp

Download Report