ファイル暗号化ランサムウェア攻撃から PC を保護する方法
デジタルライフを保護します
ランサムウェアとは、ユーザーのファイルを暗号化し、そのうえで暗号を解除する条件として身代金を要求する、ファイル暗号化マルウェアの一種です。身代金を要求せず、ただファイルを暗号化するだけのプログラムもあります。
ランサムウェアへの感染リスクを低減するための推奨事項
防御ソリューションをインストールする
最新の定義データベースを備えた カスペルスキー製品 は、攻撃をブロックし、マルウェアがコンピューターにインストールされるのを防ぎます。カスペルスキー製品の最新バージョンは、疑わしいプログラムがファイルにアクセスしようとするとファイルのバックアップコピーを自動的に作成する System Watcher コンポーネントを装備しています。
アップデートをインストールする
お使いのソフトウェア、オペレーティングシステム、そしてカスペルスキー製品をアップデートして最新の状態に保ちます。特に脆弱性を修正する修正プログラムについては定期的に確認します。最新の修正プログラムを適用した上でアップデートしたソフトウェアを使用すれば、攻撃者が付け入る機会が減ります。
脆弱性を取り除き、攻撃者による脆弱性の悪用を防ぐことができるため、アップデートはシステムのセキュリティ、安定性、パフォーマンスを改善させる主な手段となります。
アップデートが重要となるソフトウェアには以下のものがあります:
- オペレーティングシステムの修正プログラム
- Flash、Silverlight などのブラウザープラグイン
- リモート勤務の従業員に自社ネットワークへのアクセスを提供し、ゲートウェイとして機能する VPN 製品
カスペルスキー製品の保護コンポーネントをすべて有効にする
カスペルスキー製品のすべてのコンポーネントは、デバイスを最大限に保護し、ランサムウェアへの感染リスクを低減することを目的としています。以下のコンポーネントが有効になっていることを確認します:
- File Threat Protection
- Web Threat Protection
- Mail Threat Protection
- Behavior Detection
- Exploit Prevention
- AMSI Protection
- Remediation Engine
- Host Intrusion Prevention
- Kaspersky Security Network
ファイルを定期的にクラウドまたは外付けドライブにバックアップする
バックアップと復元を定期的に実行します。ランサムウェアやファイル暗号化攻撃が成功したとしても、バックアップがあれば、攻撃による有害な影響を低減し、データを回復できます。ファイルを保護するには、バックアップコピーを作成し、クラウドストレージまたは取り外し可能なドライブに保存します。
不明な差出人からのメールの添付ファイルを開かない
ランサムウェアはメールの添付ファイルとして拡散されることがよくあります。サイバー犯罪者は添付ファイルを開かせようとします。そのため、メールは「裁判所命令」「刑事訴訟通知」「支払い延滞通知」といったあたかも重要な情報が含まれているかのような件名になっています。メールや添付ファイルを開く前に、必ず送信者のアドレスを確認しましょう。
リモート接続に使用する Windows アカウントに強固なパスワードを使用する
強度の弱いパスワードは簡単に推測できたり解読できてしまうため、攻撃者が機微データにアクセスできるようになる可能性があります。リモート接続時に個人データやアカウントをハッキングから保護するには、強固なパスワードを使用します。手順については こちらの記事 を参照してください。
公衆ネットワークを使用している場合、攻撃者はリモートデスクトップ機能を使用してデバイスにアクセスしようとします。リモートデスクトップ機能には、自宅のネットワークまたは企業ネットワークのみを使用して接続するようにします。リモートデスクトップ機能の詳細については、Microsoft サポート Web サイト をご覧ください。
共有フォルダーを保護する
攻撃者は、ファイル暗号化、マルウェアの拡散、貴社ネットワーク内の移動のために、共有フォルダーを使用します。Kaspersky Endpoint Security for Windows を使用することで、共有フォルダーを暗号化から保護し、強固なパスワードを設定する上で役立ちます。
Kaspersky Endpoint Detection and Response(KEDR)または Kaspersky Managed Detection and Response(MDR)を使用する
KEDR および MDR は、攻撃を事前に検出して防御します。これらの製品を使用することで、疑わしい兆候を見つけ出し、モニタリングできます。
管理者アカウントを保護する
管理者アカウントが、定期的(たとえば 3 か月に 1 回)に変更される強固なパスワードで保護されていることを確認します。可能であれば二段階認証を使用して、万が一攻撃者がユーザー資格情報を入手してもネットワークのコントロールを掌握されるリスクを最小限に留めます。
疑わしいアクティビティをモニタリングする
疑わしいアクティビティがないかどうか、イベントログと運用データを定期的に確認します。ネットワークでの水平展開をモニタリングし、発信トラフィックに注意を払います。攻撃者は通常データを盗み出すのに、外部のネットワークやツールに接続する必要があるためです。
PowerShell の使用時には注意する
PowerShell ソリューションは、Windows デバイスへの攻撃によく使用されます。ランサムウェアやファイルレス脅威も、攻撃に PowerShell を使用します。
PowerShell スクリプトの実行を制限するようにしましょう。ポリシーを設定して未割当の PowerShell スクリプトの実行を無効にします。PowerShell スクリプトの実行を、必要とするアカウントのみに有効にします。PowerShell の制限ポリシー(Set-ExecutionPolicy)は変更しないようにします。Kaspersky Endpoint Security for Windows によって保護されているデバイスでは、Adaptive Anomaly Control コンポーネントを有効にし、Activity of Script Engine and Frameworks ルールをロックモードに切り替えます。
ポリシーを構成する
侵害を受ける可能性のあるアカウントのユーザーに対しては、利用可能なネットワークの情報を最小限に留めるポリシーを構成します。侵害を受けたデバイスから攻撃者が入手できる可能性があるので、利用可能なネットワークの情報は制限すべきです。攻撃者がアカウントやマシンに侵入できたとしても、上述の手順によりそれ以上の攻撃を実施できる機会を狭め、管理者やほかのデバイスの権限昇格を防ぐことで、攻撃が及ぶ範囲を抑えることができます。
IDS および IPS を使用してネットワークスキャンを検出・防止する
標的型攻撃の最初のステップは、情報収集です。ネットワークをスキャンすることで、攻撃者は開いているポート、アクティブなオペレーティングシステムやソフトウェア、ネットワークデバイスの状態などの重要な情報を入手できます。ネットワークスキャンを防ぐことで、攻撃者が重要な情報を収集できないようにし、攻撃の実施をより難しくすることができます。
従業員に対するトレーニングを実施して意識を高める
- メールの添付ファイルには注意を払い、差出人のメールアドレスが信用できるものかどうかを確認します。Kaspersky Endpoint Security for Windows で Mail Threat Protection コンポーネントが有効になっていることを確認します。このコンポーネントは、悪質な添付ファイルがないかどうか、コンピューターをスキャンして保護します。
- メールやその他のメッセージングプラットフォームから送られた見覚えのないリンクには注意します。そのリンクが知人から送られたものであったとしても警戒します。その相手がハッキングされているかもしれません。
- 悪質なリンクやファイルを識別する、デバイスやアカウントで疑わしいアクティビティの兆候を見つける、強固なパスワードと二段階認証を使用する、使用している OS およびソフトウェアを定期的にアップデートする、アクセスが不要になったらシステムからログアウトする方法について確認します。
カスペルスキーでは、サイバーセキュリティに特化したコースを提供しています:Automated Security Awareness Platform。このプラットフォームでは、サイバー衛生に関する知識とスキルを身に着け、優れたプラクティスを構築できるようになります。
システム設定を構成する際の推奨事項
システムの復元ポイントを作成して、ファイルをバックアップします
定期的にシステムの復元ポイントを作成し、重要なファイルはリムーバブルドライブにバックアップします。これにより、オペレーティングシステムを感染していない状態に復元することができ、システムが感染・破損した場合でも、ファイルをすばやく回復することが可能です。
バックアップと復元の機能に関して、詳しくは Microsoft サポート Web サイト を参照してください。
コンピューターへのリモート接続を拒否する
サイバー犯罪者がコンピューターにリモート接続するのを防ぐには、コンピューターの設定でこのような接続を禁止する必要があります:
- 検索機能を開き、「コントロールパネル」と入力します。[ コントロール パネル ] を選択します。
- [ システムとセキュリティ ] をクリックして、[ システム ] を選択します。
- [ システムの保護 ] を選択します。
- [ リモート ] タブを開きます。[ このコンピューターへのリモート アシスタンス接続を許可する ] をオフに、[ このコンピューターへのリモート接続を許可しない ] をオンにします。[ OK ] をクリックします。
コンピューターへのリモートアクセスは拒否されます。
カスペルスキー製品の設定の推奨事項
- カスペルスキー製品の設定にアクセスするためのパスワードを設定します。手順についてはオンラインヘルプを参照してください。
- カスペルスキー製品のシステムウォッチャー機能を有効にします。
この機能は、悪意のあるアクションをブロックしてロールバックし、バナーを検知して削除し、疑わしいアクセスが試行された際にファイルのバックアップコピーを作成するものです。セットアップ手順については、オンラインヘルプを参照してください。
ファイルの暗号解除に関する推奨事項
ファイルの復元を試みる
Windows 標準の方法でファイルの復元を試すことができます。手順については Microsoft のサポートサイト を参照してください。
悪意のあるファイルが検知されたときの自動削除を無効にする
コンピューターにカスペルスキー製品がインストールされている場合は、設定に [ 全般 ] セクションで [ 推奨される処理を自動的に実行する ] のチェックを外します。
隔離されたファイルには、復号化に役立つ可能性があるキーが含まれていることがあるので、削除しないことを推奨します。
疑わしいファイルを分析のために送信する
カスペルスキーカスタマーサービス へお問い合わせください。問い合わせの際には、疑わしいファイルを添付してください。
カスペルスキーのエンジニアは、破損ファイルを必ず暗号解除できることを保証いたしかねます。
スキャンを実行し、コンピューターからマルウェアを削除します
コンピューターのフルスキャンを実行して、感染原因を特定し、それを取り除きます。防御ソリューションをインストールしていない場合は、カスペルスキーの無料ツール Kaspersky Rescue Disk、Kaspersky Virus Removal Tool (英語) をご利用いただけます。
コンピューターに疑わしいファイルがある場合の対処方法
ファイルに望ましくない暗号化を行った可能性がある、疑わしいファイルを発見したら、以下のいずれかの手順に従ってください。
- OpenTIP で、既知の脅威についてファイルをスキャンします。必要に応じて、誤検知や新しい悪意のあるプログラムについて、カスペルスキーの担当者までお知らせください。以下の手順を行います。
- スキャン結果ページで [ Submit to reanalyze ] をクリックします。
- 担当者から連絡を差し上げますので、連絡先メールアドレスを入力してください。
- [ Send ] をクリックします。
- カスペルスキーカスタマーサービス へお問い合わせください。疑わしいファイルを添付し、[ランサムウェアの疑いがあるもの] に説明を記入します。
- newvirus@kaspersky.com にメールを送信します。このとき、 infected というパスワードを使用して 圧縮ファイルを作成します (ファイル圧縮ソフト WinRar を使用)。パスワードを設定するときに、[ ファイル名も暗号化する ]をオンにします。
暗号化プログラムのファイルが存在する可能性がある場所
- APPDATA
Windows NT / 2000 / XP の場合: \Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data
Windows Vista / 7 / 8 / 10 の場合:\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local
- TEMP
%TEMP%\???????.tmp\ (例:temp\vum35a5.tmp)
%TEMP%\???????.tmp\??\ (例:temp\7ze5418.tmp\mp)
%TEMP%\???????\ (例:temp\pcrdd27)
%WINDIR%\Temp
- Internet Explorer の一時ファイルのディレクトリ
Windows NT / 2000 / XP の場合:%USERPROFILE%\Local Settings\Temporary Internet Files\
Windows Vista / 7 / 8 / 10 の場合:%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\????????\ (? は英数文字を表します)
- デスクトップ
%UserProfile%\Desktop\
- ごみ箱
\Recycler\
\$Recycle.Bin\
\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000 (? は英数字を表します)
- システムディレクトリ
%WinDir%
%SystemRoot%\system32\
- ユーザーのドキュメントフォルダー
%USERPROFILE%\My Documents\
%USERPROFILE%\My Documents\Downloads
- ダウンロードフォルダー
%USERPROFILE%\Downloads
- スタートアップフォルダー
%USERPROFILE%\Start menu\Programs\Startup