ランサムウェア ― ファイルが消えたり、暗号化されて身代金を要求されたりするあの悪夢 ― は、稀に見る悪夢から、日常的な頭痛の種へと変化しました。Cryptolocker とその仲間は、基本的にドライブ上の貴重なものをすべて暗号化し、取り戻すために金銭を要求します。特に十分な準備をしていない場合は、決して楽しいものではありません。幸いなことに、Windows には、これらの攻撃が実際に被害をもたらす前に、攻撃を遅らせたり、ブロックしたりするためのツールと対策が組み込まれています。これは魔法の解決策ではありませんが、第一歩です。そして、良い習慣と組み合わせることで、防御を飛躍的に強化することができます。
このウォークスルーでは、セキュリティ機能の有効化、ランサムウェア対策の設定、そして多くのトラブルを回避できるヒントなど、すぐに効果を発揮する対策をいくつかご紹介します。ランサムウェアがファイルをロックしたり拡散したりする前に、できるだけ多くの障壁を突破できるよう、多層的な保護対策を構築することが目的です。コマンド、パスの調整、設定の再確認が必要になる場合があります。最初から全てが完璧とは限りませんが、これらの手順は実際の経験に基づいています。変更後に再起動したり、オプションを再度切り替えたりすると改善される場合もあります。Windowsはこういう風に不安定なものです。
ランサムウェアに対するWindowsの防御力を強化する方法
Windowsの基本的な組み込みセキュリティツールを有効にする
まず第一に、コアセキュリティが実際に有効になっていることを確認してください。Windows Defenderがアクティブでなかったり、サードパーティ製アプリが動作を妨害していたりすると、すべてが台無しになります。Windows Defenderが動作していること、ファイアウォールが有効になっていること、そしてユーザーアカウント制御(UAC)が適切なレベルに設定されていることを確認してください。これらは、多くの脅威を未然に防ぐための基盤です。
- 設定→更新とセキュリティ→ Windowsセキュリティを開く
- ウイルスと脅威の防止をクリック
- リアルタイム保護 と ファイアウォール がオンになっていることを確認してください。
また、Windows Updateを定期的にインストールしましょう。面倒に感じても、Microsoftは既知の脆弱性を修正するパッチをリリースしています。サードパーティ製アプリも同様です。古いバージョンは攻撃の格好の標的となるため、常に最新の状態に保つことが重要です。ユーザーアカウントが日常的に管理者権限を持っている場合は、標準アカウントに切り替えるか、定期的に変更されるローカル管理者パスワードを使用することを検討してください(Windows LAPSの登場です)。バックアップも不可欠です。「3-2-1ルール」、つまり3つのコピー、2つの異なるメディア、1つはオフサイトに保管するルールを必ず守ってください。面倒な作業ですが、命を救うことになります。
コントロールされたフォルダーアクセスで Microsoft Defender ランサムウェア保護を有効にする
これはなかなか良い機能です。コントロールされたフォルダーアクセス(CFA)は、ランサムウェアが重要なフォルダーに侵入するのを阻止します。Windows Defender Exploit Guardの一部ですが、正直言って過小評価されている部分があります。Windowsは、CFAを見つけるのを必要以上に困難にする必要があるからです。デフォルトでは、CFAはドキュメント、ピクチャ、ミュージック、ビデオ、デスクトップなどのデフォルトフォルダーのみを対象としています。しかし、設定をいじれば、Dropboxやカスタムプロジェクトフォルダーなど、他のパスを追加できます。
オンにするには:
- 設定→プライバシーとセキュリティ→ Windowsセキュリティを開く
- 「ウイルスと脅威の防止」 → 「ランサムウェア対策の管理」をクリック
- コントロールされたフォルダーアクセスをオンにする
有効にしたら、「保護されたフォルダー」セクションにフォルダーを追加します。また、「制御されたフォルダーアクセスをアプリに許可」リストで、特定のアプリ(Notepad++やバックアップツールなど)を許可することもできます。設定によっては、少し扱いにくい場合があります。すぐに有効にならない場合や、新しいフォルダーを認識するために再起動が必要になる場合があります。
スクリプトを作成したいですか?PowerShell を使えば簡単です:
Set-MpPreference -EnableControlledFolderAccess Enabled Add-MpPreference -ControlledFolderAccessProtectedFolders "C:\ImportantData" Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files\Notepad++\notepad++.exe"Active Directory を使用している場合は、グループポリシーを使ってこれらの設定をプッシュできます。「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Defender ウイルス対策」→「Windows Defender Exploit Guard」→「コントロールされたフォルダーアクセス」と進むだけです。PC が多数ある場合は面倒ですが、やる価値はあります。
ソフトウェア制限ポリシー(AppLocker)を使用して不要なプログラムを禁止する方法
マシン上で実行できるものを徹底的に制限したい場合は、ソフトウェア制限ポリシー(正確にはAppLocker)が役立ちます。基本的に、Windowsに許可するプログラムと許可しないプログラムを指定し、それ以外のほぼすべてのプログラムをブロックします。これは万能ではありませんが、企業環境では一般的な防御策となっています。
要点は次のとおりです。
- グループポリシーエディター(gpmc.msc または gpedit.msc)を開きます。
- 「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「ソフトウェア制限ポリシー」に移動します。
まだポリシーが存在しない場合は、作成してください。そして、デフォルトを「許可されていない限りすべてを拒否する%SystemRoot%」モードに設定してください。次に、、などのディレクトリや、特定の信頼できるアプリに対するルールを作成してくださいC:\Program Files。
たとえば、承認されたビジネス アプリのみが実行されるようにルールを設定できます。
- 許可する
C:\Program Files\YourApp - その他すべてを拒否するか、特定の拡張機能のみを許可する
その後、許可されていないディレクトリからアプリを起動してみてください。おそらく「このアプリはシステム管理者によってブロックされています」というメッセージが表示されるでしょう。信じられないかもしれませんが、ランサムウェアが不正な実行ファイルを実行しようとした場合、これがあなたの命を救うことになるかもしれません。
Windows Server で FSRM を使用して共有フォルダをロックダウンする
Windows Serverで共有フォルダを設定している場合は、FSRM(ファイルサーバーリソースマネージャー)を使用して、作成または保存されるファイルの種類を制限できます。これは、ファイルタイプのバウンサーのようなものと考えてください。これにより、ランサムウェアによる悪意のあるファイルのアップロードや作成を防ぐことができます。
インストールするには:
Install-WindowsFeature FS-Resource-Manager -IncludeManagementTools.docxインストールが完了したら、承認された拡張子( 、など)のみを含むファイルグループを作成します.xlsx。次に、共有上でファイルスクリーンをアクティブ化します。
- FSRMで、「ファイル スクリーン」 → 「ファイル スクリーンの作成」に進みます。
- 共有フォルダを選択してください
- スクリーニングタイプをアクティブに設定する
- 定義済みのファイルグループ(すべてのファイルなど)を選択して、他のすべてをブロックします。
許可されていないファイル形式のアップロードを試みた場合に通知を受け取りたい場合は、メールアラートまたはイベントログを設定してください。また、.pdfあるフォルダでは許可するが、他のフォルダではブロックするといった例外を指定することも可能です.exe。
VSSスナップショットでファイルを保護する
最後に、ちょっとした裏技として、ボリュームシャドウコピーサービス(VSS)を有効にする方法をご紹介します。これにより、バックアップや特別な復元ツールを必要とせずに、ファイルの以前のバージョンを復元できます。ランサムウェアによってすべてが暗号化された場合でも、以前のスナップショットにロールバックできる可能性があります。本当に助かる機能ですが、事前に設定しておく必要があります。
VSS をセットアップします。
- サービスを有効にする: Services.msc →ボリュームシャドウコピーを見つける →自動に設定する
- vshadow.exeツールをマシン全体に展開します(通常は Program Files の下にある Windows SDK からコピーし、グループ ポリシーを使用してユーザー システムにプッシュします)。
- 定期的に実行してスナップショットを作成するスケジュールされたタスク (PowerShell を使用するのが望ましい) を作成します。
$disks = Get-WmiObject -Query "SELECT * FROM Win32_LogicalDisk WHERE DriveType=3" foreach ($disk in $disks) { $drive = $disk. DeviceID Start-Process -FilePath "vshadow.exe" -ArgumentList "-p $drive" }ランサムウェアがファイルを暗号化してしまった場合は、 でシャドウコピーを確認しvssadmin list shadows、 でマウントしてvshadow -el={ID}, Z:復元してください。万全ではありませんが、何もないよりはましです。
結局のところ、セキュリティ機能の有効化、アプリの制限、ファイルタイプの管理、スナップショットの保存といったこれらの戦術を組み合わせることで、ランサムウェアの活動は大幅に困難になります。完璧ではありませんが、ツールなしで防御するよりはましです。
まとめ
- Windows Defenderとファイアウォールを有効にし、すべてを最新の状態に保った
- コントロールされたフォルダーアクセスをオンにし、重要なフォルダーを追加しました
- 不明なアプリをブロックするように AppLocker または SRP を構成しました
- サーバー上でFSRMを使用してファイル作成の種類を制限しました
- リカバリ用のVSSスナップショットを設定する
まとめ
これらの手順は魔法の盾ではありませんが、多層防御の構築に役立ちます。設定が大げさに感じるかもしれませんが、優れた警報システムを設置するようなものです。必要にならないことを祈りつつも、何かあった時に備えて備えておくと安心です。重要なのは、一貫性を保ち、すべてを最新の状態に保つことです。これで誰かがランサムウェアの悪夢を回避できる、あるいは少なくとも戦うチャンスが生まれることを祈っています。幸運を祈ります!