ホーム > PC-Webzineアーカイブ > トレンドマイクロの六つの掟と、カスペルスキーのシステムウォッチャー

トレンドマイクロの六つの掟と、カスペルスキーのシステムウォッチャー

トレンドマイクロの六つの掟と、カスペルスキーのシステムウォッチャー

2017年04月05日更新

感染を防ぐ六つのポイント

トレンドマイクロ プロダクトマーケティング本部
コンテンツセキュリティグループ シニアマネージャー
宮崎謙太郎 氏

「ランサムウェア対策のポイントは六つあります」??。トレンドマイクロ プロダクトマーケティング本部 コンテンツセキュリティグループ シニアマネージャーの宮崎謙太郎氏は、ランサムウェア対策についてこのように指摘する。そのポイントは以下の通り。


①不審なメールの添付ファイル/リンクは開かない


②定期的に外部メディアにバックアップを取得する


③アプリケーションのアップデートはこまめに行う


④管理者権限をユーザーに与えない


⑤UACやVSSなどのOSのセキュリティ機能を無効にしない


⑥セキュリティ対策を強化する

①と③はすべてのセキュリティ対策において基本的な態度であろう。不審なメールなどは開かないこと、そして脆弱性を狙う攻撃を防ぐためにはアプリケーションの脆弱性に早急に対処すること。②は本特集の後半で解説する。


④だが、そもそもWindowsの標準バックアップ機能である「VSS(ボリュームシャドウコピー)」を利用すると、ランサムウェアにデータを書き換えられた場合でも直前のデータを復元できるようになるが、そのVSSを破壊するようなランサムウェアも存在する。ただし、PCユーザーがローカルの管理者権限を持っていなければVSSがランサムウェアによって破壊されることはない。そのため、管理者権限をユーザーに与えないという体制が必要になる。


また、管理者権限が必要となる操作を不正プログラムが自動実行することを防げる「UAC(ユーザーアカウント制御)」機能も有効にしておきたい(⑤)。


これらを実行した上で、セキュリティ対策を強化するといいでしょうと、宮崎氏は促す。

使われていないエンドポイント機能を有効に

それでは実際にセキュリティ対策を強化するにはどうしたらいいのか。宮崎氏はまず既存投資の活用を提案する。「当社のエンドポイントセキュリティ製品である『ウイルスバスター コーポレートエディション』においても、ランサムウェアに有効な機能が使われていないケースがあります。例えばプログラムの挙動を監視して不正かどうかを判別する挙動監視や機械学習などは誤検知の可能性もあるため、オフにされるケースがあるのです。しかしこれらの機能は、ホワイトリストと併用して上手につきあえばランサムウェア対策に役立ちます。多くの脅威は有効な機能を使いこなすことで感染前に止められるのです」


さらに、Webサイトやメールからの侵入を防止するためにネットワークの入口で通信やメールを検査できるようにしたり、万が一侵入された際にも早期発見できるような内部ネットワークの監視環境も構築すべきだという。ランサムウェアに感染した場合でも、感染したクライアントPCから暗号化をするための鍵をランサムウェアが外部にとりにいくタイミングで検知できれば、そこで暗号化を止められる。


それらを実現する製品として、エンドポイントセキュリティのウイルスバスター コーポレートエディションに加えて、サンドボックス④で未知のマルウェアを検知するメール攻撃対策製品「Deep Discovery Email Inspector」、Webレピュテーション⑤の活用で不正なサイトへのアクセスをブロックするWebゲートウェイ対策製品「InterScan Web Security」、サーバーの多層防御製品「Deep Security」、そして、ネットワークスイッチを通過する疑わしい通信を監視するネットワーク型対策製品「Deep Discovery Inspector」などの活用を宮崎氏は提案する。

システムウォッチャーで危険を察知

カスペルスキー コーポレートビジネス本部
コーポレートマーケティング部
コーポレートマーケティングマネージャー
春日井敦詞 氏

「ランサムウェアの高い検知率が評価されてKaspersky Endpoint Security for Businessの導入が伸びています」??。こう語るのは、カスペルスキー コーポレートビジネス本部 コーポレートマーケティング部 コーポレートマーケティングマネージャーの春日井敦詞氏。

Kaspersky Endpoint Security for Businessの機能でランサムウェア対策として特に有効なのが、ふるまい検知機能「システムウォッチャー」だ。同機能はファイルの変更を監視して、ファイルに対する疑わしいアプリケーションの挙動を検知したタイミングでファイルのバックアップコピーを作成する。怪しいアプリケーションについてランサムウェアだと判定した場合、マルウェアは削除し、改ざんされたファイルを自動的にバックアップコピーからロールバック(改竄前の状態に復元)する。


具体的には、システムウォッチャーでは、危険と分類されるアプリケーションの典型的な一連のふるまいを定義したデータベース「Behavior Stream Signatures(BSS)」を利用して疑わしいアプリケーションのふるまいを分析し、ブロックする。また、脆弱性攻撃ブロックという機能も搭載されており、Adobe ReaderやInternet Explorer、Microsoft Officeなど、頻繁に狙われるアプリケーションの挙動を監視して、不審な実行ファイルを起動しようとした場合には、追加のセキュリティチェックを行ってブロックする。


システム内の疑わしい動作に関する情報は収集されていて、疑わしいアプリケーションが悪意のあるアプリケーションだと認識された場合は、そのアプリケーションで実行されたすべての動作をロールバックできる。

サーバー上のデータの暗号化も防ぐ

Kaspersky Endpoint Security for Businessでは、サーバーにおけるランサムウェア対策も実現している。それが「アンチクリプター」機能だ。これは共有フォルダー内のファイルに対して、悪意のある暗号化の試行があった場合に、その攻撃を仕掛けているPCからのアクセスをブロックする。検知時には感染端末のIPアドレスも特定できるため、管理者にメールで通知可能だ。


こうした対策に加えて春日井氏は、「ランサムウェアの攻撃のほとんどは脆弱性をついてきます。そのため、まずは脆弱性の予防が欠かせません」と指摘する。そこで同社は脆弱性監査とパッチマネジメントを行えるシステム管理製品「Kaspersky Systems Management」も用意している(Kaspersky Endpoint Security for BusinessのAdvancedライセンスでも利用可能)。


Kaspersky Systems Managementを導入すると、Windowsやアプリケーションの脆弱性情報を管理サーバーが随時収集し、管理するPCに脆弱性が存在しないかスキャンしてチェックできるようになる。また、脆弱性の重大度などのルールに基づいたパッチの自動配信も実現する。緊急パッチは即時自動配信して、それ以外は管理者が配信タイミングを指定するような運用が可能だ。これらの機能を擁するカスペルスキーの製品は、「ランサムウェアへの防御力が高く、指名買いが多くなっています」と春日井氏はアピールする。

 続きを読む  CylanceはファイルのDNAをAIで分析、マカフィーはPDCA防御を推奨

キーワードから記事を探す