Office 365 のランサムウェア対策と復旧:完全ガイド
今日、ランサムウェアは、Microsoft 365のファイルや文書を含むあらゆる種類のデータに影響を及ぼす可能性があるため、現代の企業にとって最大の脅威の一つと見なされています。実際、 3億400万件の攻撃 2020年に世界中で発生し、 身代金の平均支払額は81万2,360ドルに達している. そして、侵入の手口は年々巧妙化しています。
マイクロソフトは"共有責任モデル"に基づき、ユーザーにさまざまなOffice 365ランサムウェア対策ツールを提供しています。ただし、Office 365を利用する組織は、脅威からデータを保護するためにこれらのツールを適切に設定する責任を負うほか、データの復元性を確保するためにサードパーティ製ツールを活用する必要があります。
本記事では、ランサムウェア攻撃を受けた際に環境を保護し、データを復元するための、マイクロソフトが提供する組み込みのランサムウェア対策および復旧機能について詳しく解説します。
Office 365 に標準搭載されているランサムウェア対策機能
Microsoftのサブスクリプションには、テナントを保護し、セキュリティインシデント発生時のリスクを軽減するための機能がいくつか組み込まれています。以下のツールを使用することで、 Exchange Online Protection (EOP) Microsoft Defender を活用すれば、攻撃がネットワークに侵入・拡散する前に、それを検知、監視、および阻止することができます。
なお、Microsoft のランサムウェア対策機能には制限があり、特にユーザーが自ら起動したマルウェアなどに対しては、感染を完全に防ぐことはできない点にご留意ください。
Microsoft 365 Defender
セキュリティおよび なりすまし 必要なツールは、多数の監視および保護機能を統合した"Microsoft 365 Defender"および"Microsoft Defender for Office 365"に用意されています。さらに、"Microsoft Defender for Identity"および"Microsoft Defender for Endpoint"を使用することで、侵害の原因となり得る侵害されたデバイスを特定することができます。
Microsoft Defender に含まれる、Office 365 のランサムウェア対策における最も重要な機能は以下の通りです。
- 脅威の調査と対応
これは、管理者が環境をスキャンし、潜在的な脅威に関するデータを収集するのに役立つ一連の機能です。脅威の調査および対応ワークフローでは、感染したコンピューター、過去のインシデント、ユーザーのアクティビティなど、さまざまなソースからの脅威トラッカーを使用して情報を収集します。その後、OneDrive for Business、SharePoint Online、Exchange Online、および Microsoft Teams におけるリスクに対処するために、必要な対応措置が実施されます。
- フィッシング対策
フィッシング攻撃のようなソーシャルエンジニアリングの手口は、 ランサムウェア攻撃の主な侵入経路Microsoft Defender for Office 365 は、高度なアルゴリズムと一連の機能を活用して、フィッシング攻撃を自動的に検知し、Office 365 のデータを保護します。
なりすまし情報: これらの分析結果を活用することで、社内外のドメインからのメッセージに含まれるなりすまし送信者を検出し、自動的に制限することができます。また、"テナントの許可/ブロックリスト"で、特定された送信者を手動で許可またはブロックすることも可能です。
フィッシング対策ポリシー: なりすまし防止、メールボックスインテリジェンス、高度なフィッシング検知のしきい値など、さまざまな設定を構成できます。さらに、ブロックされたなりすまし送信者に対する処理を指定することも可能です。
暗黙的なメール認証: 送信者のレピュテーション、送信履歴、行動分析などの高度な手法を用いて受信メールを検証し、偽装された送信者を特定します。
キャンペーンの閲覧数: 組織的なフィッシング攻撃に関与するメッセージを検知・分析する。
攻撃シミュレーション訓練: 管理者は、フィッシング詐欺の偽メッセージを作成し、ネットワーク内のユーザーと共有することで、ユーザーの対応能力をテストしたり、ランサムウェアに関する意識向上トレーニングを実施したりすることができます。
- マルウェア対策
EOPの多層的なマルウェア対策機能は、ウイルス、スパイウェア、ランサムウェアなど、送受信されるさまざまな種類のマルウェアを自動的に検出します。これは、以下の機能によって実現されています:
マルウェアに対する多層防御: 複数のマルウェア対策スキャンエンジンが、既知および未知の脅威から組織を保護します。これらのエンジンは、ランサムウェアの感染が拡大し始めた初期段階においても、Office 365を保護します。
リアルタイム脅威対応: セキュリティチームは、ウイルスやマルウェアに関する十分な情報を収集し、具体的なポリシールールを作成して、ネットワーク全体に即座に適用することができます。
マルウェア対策定義の迅速な展開: マルウェア対策エンジンは、新しいパッチやマルウェアの定義を反映させるため、常に更新されています。
- フォルダーへのアクセス制御
Microsoft Defender Antivirus でリアルタイム保護を有効にすると、"フォルダーへのアクセス制御"の設定を管理して、Office 365 のファイルやデータを悪意のあるアプリやランサムウェアから保護できます。この機能は、アプリケーションを既知のアプリの一覧と照合し、信頼できるアプリのみが保護されたフォルダーにアクセスできるようにします。悪意のある活動が検出された場合、どのアプリが保護されたドキュメントに不正な変更を試みたかを示す通知が届きます。
- Microsoft Defender for Cloud Apps
クラウドへの移行に伴い、データの保存中や転送中にデータを危険にさらす可能性のある新たなセキュリティリスクが生じます。Microsoft Defender for Cloud Apps は、 Microsoft Enterprise プラン Microsoftおよびサードパーティのクラウドサービス全体にわたる高度な制御、強力な可視性、そして堅牢なサイバー脅威の検知機能を提供します。
Office 365のランサムウェア対策を実現する主な機能は以下の通りです:
シャドーITの利用状況を把握し、管理する: 組織内で利用されているクラウドアプリやサービスを特定し、利用状況を調査するとともに、さまざまなリスクに対する事業継続体制を評価します。
クラウド上の機密情報を保護する: すべてのクラウドアプリにおいて、機密データをリアルタイムで管理・保護するためのポリシーと自動化されたプロセスを導入します。
サイバー脅威や異常を未然に防ぐ: 異常な動作、ランサムウェア、侵害されたコンピュータ、および悪意のあるアプリケーションを検出します。リスクの高い利用パターンを分析し、脅威を自動的に是正します。
クラウドアプリのコンプライアンス状況を評価する: アプリケーションが、必要な規制要件および業界標準を満たしていることを確認してください。
- Microsoft Defender SmartScreen
Microsoft Defender SmartScreenは、マルウェアやフィッシングのアプリ、ウェブサイトからユーザーを保護します。悪意のある可能性のあるファイルは自動的にブロックされ、ユーザーに通知されます。アクセスしたウェブページは分析され、報告されたフィッシングサイトや悪意のあるサイトのリストと照合されます。また、ダウンロードされたアプリやアプリインストーラーは、安全ではないと報告されている悪意のあるプログラムのリストと照合されます。
Microsoft Purview 情報保護
Office 365のランサムウェア対策は、単に攻撃を防ぐだけではありません。最適なデータガバナンスプロセスを導入することで、ランサムウェアによるデータ損失のリスクを軽減することも可能です。Microsoft Purview Information Protectionのさまざまな機能を活用すれば、転送中または保存中の機密データを特定、分類、保護することができます。
- データ漏洩防止(DLP)
DLPポリシーを定義して適用することで、ユーザーが機密データを権限のない人物に不適切に共有することを防ぎ、データ損失のリスクを低減できます。さらに重要な点として、DLPを利用すれば、機密データに対するユーザーの操作を監視することが可能です。また、これらのデータは安全な隔離場所に移動・ロックすることで、ランサムウェアの感染がデータに及ぶのを防ぐことができます。
- 機密性ラベル
機密性の高いメールや文書など、身代金要求の対象となり得ると判断されるデータに対して、機密ラベルを設定して適用します。コンテンツにマークを付けたりデータを暗号化したりすることで、Office 365 のファイルを保護し、許可されたユーザーのみがアクセスできるようにします。
その他の Office 365 ランサムウェア対策ツール
マイクロソフトは、ランサムウェアのリスクを軽減し、データ損失を抑えるための機能をさらに提供しています:
- Exchangeのメール設定: フィッシングメールは、ランサムウェア攻撃で主に用いられる手口です。Exchangeのメール設定を適切に構成することで、テナントへの初期アクセスを阻止し、メールを介した攻撃に対する組織の脆弱性を軽減できます。
- 多要素認証: Office 365 でモダン認証を有効にする サインインプロセスに二重の保護層を追加し、認証情報の漏洩リスクを大幅に低減します。
- Microsoft セキュリティスコア: このツールは、組織のセキュリティ態勢を継続的に測定し、Office 365 のデータを保護するための改善策を提案します。
- 攻撃対象領域の縮小に関するルール: 必要な設定を行うことで、サイバー攻撃に対する脆弱性を軽減しましょう。不審な活動を、ネットワーク全体に感染が広がる前にブロックしてください。
Microsoftのランサムウェア復旧方法
場合によっては、あらゆる保護策が機能せず、ランサムウェア攻撃に遭ってしまうことがあります。その場合は、接続されているすべてのデバイスでOneDriveの同期を直ちに停止し、感染したデバイスをネットワークから切り離してください。迅速に対応すれば、感染したファイルの暗号化されていないコピーが他のドライブに保存されている可能性が高いです。
バージョン管理
バージョン管理を有効にすると、SharePoint Online、Exchange Online、および OneDrive for Business において、同じドキュメントの複数のバージョンを自動的に保存できるようになります。デフォルトではバージョン数は 500 件に制限されていますが、50,000 件まで増やすことができます。
ランサムウェア攻撃以前に作成された以前のバージョンに戻し、必要に応じて復元することができます。 ただし、一部のランサムウェアはドキュメントのすべてのバージョンを暗号化する場合もあるため、バージョン管理機能だけではランサムウェアに対する完全な保護は得られない点にご注意ください。
注: 複数のバージョンを保存するには、追加のストレージ容量が必要になります。
ごみ箱
場合によっては、ランサムウェア攻撃によって元のファイルが削除され、使用できない新しい暗号化されたファイルが作成されることがあります。ごみ箱は、削除されたファイルを93日以内に復元できるため、Microsoftのランサムウェア復旧ツールとして利用できます。
この期間が経過し、アイテムがごみ箱の2つの段階から削除された後でも、Microsoftサポートに連絡してデータ復旧を依頼できる14日間の猶予期間があります。この期間が終了すると、データは完全に削除されます。
コンプライアンスに関する保存方針
Office 365のファイルやドキュメントをどのくらいの期間保存するかを定義するルールを作成します。これにより、どのデータをいつ削除できるかを設定できます。特定のコンテンツタイプに対して保存ポリシーを設定することで、このプロセスを自動化できます。
注: コンプライアンス保持ポリシーは、Microsoft 365 E5、A5、および G5 のサブスクリプション プランでのみ利用可能です。
保存保留ライブラリ
保存期間の設定を適用することで、OneDrive や SharePoint に同期されたデータを、"保存保持ライブラリ"に指定された期間保存することができます。"インプレース保持"機能により、データのコピーが変更されず、ランサムウェアの感染の影響を受けない状態が維持されます。攻撃を受けた後、ユーザーはライブラリにアクセスして、必要なファイルをエクスポートすることができます。
サードパーティ製バックアップソリューション
感染したデータを復元するために利用できる、Office 365のランサムウェア復旧方法はいくつかあります。 Microsoftのランサムウェア対策機能と同様に、これらのツールには制限があり、データの復元が保証されない場合がある点にご留意ください。
MicrosoftはOffice 365データのバックアップを行いませんが、その代わりにExchange Online、SharePoint Online、OneDrive for Business向けにデータ保持ポリシーを提供しています。一方、SaaS向けの最新のバックアップソリューションは、サイバー攻撃が発生した場合でも最適なデータ保護と安全性を提供します。データは安全なリポジトリに保存され、攻撃を受けた後も迅速に復元することが可能です。
まとめ
今日、ランサムウェア攻撃は、Office 365のドキュメントやファイルを含むあらゆる種類のデータに影響を及ぼす可能性があるため、組織にとって最も危険な脅威となっています。幸いなことに、マイクロソフトは、環境を継続的に監視・保護するOffice 365の組み込み型ランサムウェア対策および復旧ツールを提供しています。
しかし、これらの標準ツールには限界があり、感染後にデータを安全に復旧させるためには、サードパーティ製のバックアップソリューションが必要となります。 "NAKIVO Backup for Office 365 Free Edition"をダウンロードして、データの復旧性を確保するのに役立つ高度なツールや機能をすべてご確認ください。
