防御ソリューションをインストールする

最新の定義データベースを備えた カスペルスキーアプリケーション は、攻撃をブロックし、マルウェアがコンピューターにインストールされるのを防ぎます。カスペルスキーアプリケーションの最新バージョンは、疑わしいプログラムがファイルにアクセスしようとするとファイルのバックアップコピーを自動的に作成する System Watcher コンポーネントを装備しています。

アップデートをインストールする

お使いのソフトウェア、オペレーティングシステム、そしてカスペルスキーアプリケーションを最新の状態に保ちます。特に脆弱性を修正する修正プログラムについては定期的に確認します。最新の修正プログラムを適用した上でアップデートしたソフトウェアを使用すれば、攻撃者が付け入る機会が減ります。

脆弱性を取り除き、攻撃者による脆弱性の悪用を防ぐことができるため、アップデートはシステムのセキュリティ、安定性、パフォーマンスを改善させる主な手段となります。

アップデートが重要となるソフトウェアには以下のものがあります：

• オペレーティングシステムの修正プログラム
• ブラウザープラグイン
• リモート勤務の従業員に自社ネットワークへのアクセスを提供し、ゲートウェイとして機能する VPN 製品

カスペルスキーアプリケーションの保護コンポーネントと機能をすべて有効にする

カスペルスキーアプリケーションのすべてのコンポーネントと機能は、デバイスを最大限に保護し、ランサムウェアへの感染リスクを低減することを目的としています。アプリケーションのすべてのコンポーネントと機能が有効になっており、正しく動作することを確認してください。

定期的にファイルをバックアップし、PC の外に保管する

定期的にデータをバックアップすることをお勧めします。ランサムウェアやファイル暗号化攻撃が成功したとしても、バックアップがあれば、攻撃による有害な影響を低減し、データを回復できます。マルウェアやコンピュータの損傷からファイルを保護するには、バックアップコピーを作成し、クラウドストレージまたは取り外し可能なドライブに保存します。

不明な差出人からのメールの添付ファイルを開かない

ランサムウェアは、メールから感染したファイルを通じて拡散します。このようなメールレターでは、攻撃者はビジネスパートナーや政府関係者を装い、件名や添付ファイルには仲裁裁判所からの請求通知など重要な情報が記載されています。メールや添付ファイルを開く前に、必ず送信者のアドレスを確認してください。

リモート接続に使用する Windows アカウントに強固なパスワードを使用する

強度の弱いパスワードは簡単に推測できたり解読できてしまうため、攻撃者が機微データにアクセスできるようになる可能性があります。リモート接続時に個人データやアカウントをハッキングから保護するには、強固なパスワード を使用します。

公衆ネットワークを使用している場合、攻撃者はリモートデスクトップ機能を使用してデバイスにアクセスしようとします。リモートデスクトップ機能には、自宅のネットワークまたは企業ネットワークのみを使用して接続するようにします。リモートデスクトップ機能の詳細については、Microsoft サポート Web サイト をご覧ください。

共有フォルダーを保護する

攻撃者は、ファイル暗号化、マルウェアの拡散、貴社ネットワーク内の移動のために、共有フォルダーを使用します。Kaspersky Endpoint Security for Windows を使用することで、共有フォルダーを暗号化から保護し、強固なパスワードを設定する上で役立ちます。

Kaspersky Endpoint Detection and Response（KEDR）または Kaspersky Managed Detection and Response（MDR）を使用する

KEDR および MDR は、攻撃を初期段階で検出して防御します。これらの製品を使用することで、疑わしい兆候を見つけ出し、モニタリングできます。

管理者アカウントを保護する

管理者アカウントが、定期的（たとえば 3 か月に 1 回）に変更される強固なパスワードで保護されていることを確認します。可能であれば二段階認証を使用して、万が一攻撃者がユーザー資格情報を入手してもネットワークのコントロールを掌握されるリスクを最小限に留めます。

疑わしいアクティビティをモニタリングする

疑わしいアクティビティがないかどうか、イベントログと運用データを定期的に確認します。ネットワークでの水平展開をモニタリングし、発信トラフィックに注意を払います。攻撃者は通常データを盗み出すのに、外部のネットワークやツールに接続する必要があるためです。

PowerShell の使用時には注意する

PowerShell ソリューションは、Windows デバイスへの攻撃によく使用されます。ランサムウェアやファイルレス脅威も、攻撃に PowerShell を使用します。

PowerShell スクリプトの実行を制限するようにしてください。ポリシーを設定して未割当の PowerShell スクリプトの実行を無効にします。PowerShell スクリプトの実行を、必要とするアカウントのみに有効にします。PowerShell の制限ポリシー（Set-ExecutionPolicy）は変更しないようにします。Kaspersky Endpoint Security for Windows によって保護されているデバイスでは、Adaptive Anomaly Control コンポーネントを有効にし、Activity of Script Engine and Frameworks ルールをロックモードに切り替えます。

ポリシーを構成する

侵害を受ける可能性のあるアカウントのユーザーに対しては、利用可能なネットワークの情報を最小限に留めるポリシーを構成します。侵害を受けたデバイスから攻撃者が入手できる可能性があるので、利用可能なネットワークの情報は制限すべきです。たとえ攻撃者がアカウントやデバイスの侵害に成功したとしても、サイバー攻撃の能力を制限し、管理者や他のデバイスの権限昇格を防ぎ、攻撃の規模や影響を軽減することができます。

IDS および IPS を使用してネットワークスキャンを検出・防止する

標的型攻撃の最初のステップは、情報収集です。ネットワークをスキャンすることで、攻撃者は開いているポート、アクティブなオペレーティングシステムやソフトウェア、ネットワークデバイスの状態などの重要な情報を入手できます。ネットワークスキャンを防ぐことで、攻撃者が重要な情報を収集できないようにし、攻撃の実施をより難しくすることができます。

従業員に対するトレーニングを実施して意識を高める

攻撃者は、アクセス可能なネットワーク上のあらゆるデバイスから攻撃を仕掛けようとします。全従業員に、そのリスクと、何か疑わしいことがあった場合の対処法を伝えてください：

• メールの添付ファイルには注意を払い、差出人のメールアドレスが信用できるものかどうかを確認します。Kaspersky Endpoint Security for Windows で Mail Threat Protection コンポーネントが有効になっていることを確認します。このコンポーネントは、悪質な添付ファイルがないかどうか、コンピューターをスキャンして保護します。
• メールやその他のメッセージングプラットフォームから送られた見覚えのないリンクには注意します。そのリンクが知人から送られたものであったとしても警戒します。その相手がハッキングされているかもしれません。
• 自分のデバイスやアカウントでの不審な動きに注意します。業務システムへのアクセスが不要になったら、ログアウトしてください。
• 強力なパスワードと二要素認証を使用してください。
• 個人のオペレーティングシステムとソフトウェアを定期的に更新してください。

カスペルスキーでは、サイバーセキュリティに特化したコースを提供しています：Automated Security Awareness Platform。このプラットフォームでは、サイバー衛生に関する知識とスキルを身に着け、優れたプラクティスを構築できるようになります。

システムの復元ポイントを作成して、ファイルをバックアップします

定期的にシステムの復元ポイントを作成し、重要なファイルはリムーバブルドライブにバックアップします。これにより、オペレーティングシステムを感染していない状態に復元することができ、システムが感染・破損した場合でも、ファイルを回復することが可能です。

バックアップと復元の機能に関して、詳しくは Microsoft サポート Web サイト を参照してください。

コンピューターへのリモート接続を拒否する

サイバー犯罪者がコンピューターにリモート接続するのを防ぐには、コンピューターの設定でこのような接続を禁止する必要があります：

1. 検索機能を開き、「コントロールパネル」と入力します。[ コントロール パネル ] を選択します。

2. [ システムとセキュリティ ] をクリックして、[ システム ] を選択します。

3. [ システムの保護 ] を選択します。

4. [ リモート ] タブを開きます。[ このコンピューターへのリモート アシスタンス接続を許可する ] をオフに、[ このコンピューターへのリモート接続を許可しない ] をオンにします。[ OK ] をクリックします。

1. カスペルスキーアプリケーションの設定にアクセスするためのパスワードを設定します：
   • カスペルスキー スタンダード、プラス、プレミアム
   • インターネット セキュリティ
   • スモール オフィス セキュリティ
   • Endpoint Security for Windows
2. カスペルスキーアプリケーションの アプリケーション動作モニター 機能を有効にします。
   この機能は、悪意のあるアクションをブロックしてロールバックし、バナーを検知して削除し、疑わしいアクセスが試行された際にファイルのバックアップコピーを作成するものです。セットアップ手順については、オンラインヘルプを参照してください。
   • カスペルスキー スタンダード、プラス、プレミアム
   • インターネット セキュリティ
   • スモール オフィス セキュリティ
   • Endpoint Security for Windows

ファイルの復元を試みる

Windows 標準の方法でファイルの復元を試すことができます。手順については Microsoft のサポートサイト を参照してください。

悪意のあるファイルが検知されたときの自動削除を無効にする

コンピューターにカスペルスキー製品がインストールされている場合は、設定に [ 全般 ] セクションで [ 推奨される処理を自動的に実行する ] のチェックを外します。

疑わしいファイルを分析のために送信する

カスペルスキーカスタマーサービス へお問い合わせください。問い合わせの際には、疑わしいファイルを添付してください。

Kaspersky Endpoint Security for Windows をご利用の場合は、必要な情報を収集し、カスペルスキーカンパニーアカウント 経由でカスペルスキーテクニカルサポートへお問い合わせください。

スキャンを実行し、コンピューターからマルウェアを削除します

コンピューターのフルスキャンを実行して、感染原因を特定し、それを取り除きます。防御ソリューションがインストールされていない場合は、無料の カスペルスキーフリー アプリケーションまたは 無料ツール を使用してスキャンを実行してください。

ファイルに望ましくない暗号化を行った可能性がある、疑わしいファイルを発見したら、以下のいずれかの手順に従ってください。

• Kaspersky Threat Intelligence Portal で、既知の脅威についてファイルをスキャンします。必要に応じて、誤検知や新しい悪意のあるソフトウェアについて、カスペルスキーの担当者までお知らせください。以下の手順を行います。
  1. スキャン結果ページで [ Submit to reanalyze ] をクリックします。
  2. 必要に応じて担当者から連絡を差し上げますので、連絡先メールアドレスを入力してください。
  3. [ Send ] をクリックします。
• カスペルスキーカスタマーサービス へお問い合わせください。疑わしいファイルを添付し、[ランサムウェアの疑いがあるもの] に説明を記入します。
• Kaspersky Endpoint Security for Windows をご利用の場合は、必要な情報を収集し、カスペルスキーカンパニーアカウント 経由でカスペルスキーテクニカルサポートへお問い合わせください。
• newvirus@kaspersky.com にメールを送信します。このとき、疑わしいファイルを ZIP または RAR アーカイブ に追加します。infected というパスワードを設定し、［ ファイル名も暗号化する ］を オン にします。

• APPDATA 

Windows NT / 2000 / XP の場合： \Documents and Settings\%UserName%\Application Data\%USERPROFILE%\Local Settings\Application Data

Windows Vista / 7 / 8 / 10 / 11 の場合：\Users\%UserName%\AppData\Roaming\%USERPROFILE%\AppData\Local 

• TEMP 

%TEMP%\???????.tmp\     （例：temp\vum35a5.tmp）
%TEMP%\???????.tmp\??\   （例：temp\7ze5418.tmp\mp）
%TEMP%\???????\          （例：temp\pcrdd27）
%WINDIR%\Temp  
 

• Internet Explorer の一時ファイルのディレクトリ

Windows NT / 2000 / XP の場合：%USERPROFILE%\Local Settings\Temporary Internet Files\ 

Windows Vista / 7 / 8 / 10 の場合：%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\content.ie5\????????\ (? は英数文字を表します)

• デスクトップ

%UserProfile%\Desktop\

• ごみ箱

\Recycler\             
\$Recycle.Bin\  
\$Recycle.Bin\s-1-5-21-??????????-??????????-??????????-1000  （? は英数字を表します）   
 

• システムディレクトリ

%WinDir%                                                      
%SystemRoot%\system32\

• ユーザーのドキュメントフォルダー

%USERPROFILE%\My documents\
%USERPROFILE%\My documents\downloads

• ダウンロードフォルダー

%USERPROFILE%\Downloads  

• スタートアップフォルダー

%USERPROFILE%\Start menu\Programs\Startup