詳細資料

McAfee 製品による
ランサムウェア対策のご提案
マカフィー株式会社
セールスエンジニアリング本部
.
最近のランサムウェアの被害状況
ランサムウェアの被害が急増中
上:2015年に入りランサムウェ
アが急増。マルウェア全体の2
~3%程度を占める(McAfee
Labs調べ)
下:日本でのランサムウェアの
IPAへの被害報告数が最近急増。
(IPA調べ)
2016年
.
2
TOXモデルによりランサムウェアの攻撃数が増加
無償配布のランサムウェア作成ツール
作者と攻撃者で
利益を分割
振込
ランサムウェア
作成、攻撃
誰でも簡単に攻撃者になれてしまうため、
大量のランサムウェアが発生!
(ただし作成ツールは15種類ほどしかないと言われる)
.
3
最近のランサムウェアの特徴
主な動作パターンは?
・ローカルのディレクトリ、ネットワーク接続できるファイルサーバ
等にあるアクセス可能なファイルをファイル単位で暗号化するもの
(Locky、TeslaCrypt、CryptoWall、CryptoLockerなど)
・HDD丸ごと暗号化やPC全体をロックするもの
(Petyaなど)
暗号化されたデータを自分で復旧が可能か?
・復旧出来ると報告されている物が一部あるが、それ以外はほとんど
不可能と思った方が良い。
・暗号化鍵が外部保存されている場合は復旧困難。Torを通じてアクセス
するため、どこにサーバがいるのかすらわからない事がある。
身代金の決済方法は?
・最近はBitcoinによる決済が多い。他にはPayPal、iTunesカードなど。
・身代金を払ってもファイルが元に戻らなかったという報告もある。
.
4
ランサムウェア感染の経路
ランサムウェアは通常、以下のルートで感染することが多い
1.MailにダウンローダーあるいはURLのリンクを添付し、それを使って
Webからランサムウェア本体をダウンロードする。(これが多数派)
2.Webページに脆弱性を利用したマルウェアを仕掛け、それを使って
別のWebページからランサムウェア本体をダウンロードする。
3. Mailにランサムウェア本体を添付する。
ランサムウェア対策には、この経路上
でのリアルタイムブロックが必要
被害者
攻撃者
メール送付
添付メールの実行
Exeのダウンロード
DLしたExeの実行
Malware
Download Site
5
.
効果的なランサムウェアな対策は?
セキュリティ製品によるリアルタイムブロック
・WebとMailのフィルタによるリアルタイムブロック
(実際にはWebのフィルタだけでも大部分をカバーできる)。
・振る舞い検知によるエンドポイントでのリアルタイムブロック
(ランサムウェアは実行したらすぐに被害が出るので、単に検知ではなく
リアルタイムでの実行の防止が求められる)
大事なファイルのバックアップ
・ローカルのファイルを自動でファイルサーバにバックアップするようにし、
サーバのデータも定期的に自動バックアップする。
・こまめに外部媒体にバックアップを取って、取り終わったらPCから外す。
(最近のランサムウェアは簡単な仕組みで作成したバックアップならば、
探し出して破壊する機能を持つので注意が必要。また、運用を考えると、
バックアップを取るとしても、リアルタイムブロックの仕組は必要。)
.
6
Intel Security エンドポイント製品による
ランサムウェア対策
①SiteAdvisor
WebControl(Endpoint Security)
攻撃者
メール送付
Exeのダウンロード
Web Reputation 機能によりランサムウェア配布
サイトへのブラウザによるユーザのアクセスを
リアルタイムブロック
添付メールの実行
VSE/HIP
/ENS
Malware
Download Site
DLしたExeの実行
②VSE(VirusScan Enteprise)
HIP(Host Intrusion Prevention)
ENS(Endpoint Security)
カスタムルールによりランサムウェ
アの動作をリアルタイムブロック
7
.
McAfee Site Advisor/ Web Control (Endpoint Security)の
ウェブレピュテーション機能によりランサムウェア配布サイト①
へのブラウザによるユーザのアクセスをブロック
検索エンジンの検索結果にサイトの安全性を
赤・黄・青で表示します。
オンライン詐欺、大量の迷惑メール、過剰な
ポップアップ広告などのサイトを事前に
通知します。
危険性が高いと判断されたサイトは、
アクセスブロック画面へリダイレクト
されます。
サイト上部にも色分けで安全性を表示!!
*さらにサイト上部にも色分けで安全性を表示!!
安全性が直感的に判断出来ます。
信号みたいなので、直感的に判断できます。
.
8
②
エンドポイントの通常のマルウェア対策に加えて
ファイル暗号化型ランサムウェア対策用にもう一枚の壁
(VSE/ENS アクセス保護のユーザ定義ルールで)
指定したディレクトリ
やファイル種別
変更・削除できるのは指定したツールのみ
それ以外のプログラムによる破壊行為を防止
VSE/ENSのアクセス保護
機能のカスタムルール、
HIPのカスタムルールで、
このような設定が可能
.
9
ランサムウェアの感染活動を阻害するカスタムルール
②
ランサムウェアが行う「アクセス保護の回避手法」
・WordやExplorerにインジェクションして動作
→除外プロセスとして動作するので阻害されずに破壊できる
・破壊できなかったファイルをリスト化し、再起動後に破壊
→VSEのアクセス保護が有効になる前に破壊を実行
・VSEを破壊してから暗号化 (※この手法にはVSE8.8Patch7で対策済み)
そこで、「ランサムウェアとの闘い:Combating Ransomware」
ランサムウェアの感染活動を阻害するアクセス保護のカスタムルールで対抗する
https://kc.mcafee.com/corporate/index?page=content&id=PD25203&viewlocale=ja_JP
https://kc.mcafee.com/corporate/index?page=content&id=PD25203(英語最新)
<記載されているルールで特に効果的なものの例>
EXEがよくDropされるフォルダ
*¥Users¥*¥AppData¥Roaming¥*.exe
の作成を禁止する(この設定はランサムウェア
以外のマルウェアにも効果がある)
Lockyが使用するレジストリ
[HKCU] /Software/Locky
を作成禁止する
.
10