ランサムウェアからOneDriveを守るための対策
多くのユーザーは、OneDriveをクラウド上のバックアップストレージとして捉えています。彼らは、OneDriveに保存されたファイルは紛失や破損の心配がないと考えがちです。つまり、ローカルコンピュータのハードディスクやオンプレミスのサーバーに保存されたファイルとは異なり、パブリッククラウドに保存されたファイルはランサムウェアによる被害を受けないと信じている人もいるのです。しかし、それは必ずしも真実ではありません! OneDriveに保存されたファイルもランサムウェアの攻撃を受け、暗号化され、その結果として失われる可能性があります。
ランサムウェア攻撃の被害は年々増加しています。しかし、推奨事項に従い、セキュリティポリシーを遵守すれば、OneDriveに保存している場合でもデータを安全に保つことができます。このブログ記事では、OneDrive内のデータを保護するための戦略を紹介し、ランサムウェア攻撃から身を守る方法について解説します。
OneDrive とランサムウェアについて
ランサムウェアはOneDriveに感染しますか?はい、以下の場合には、OneDriveに保存されているファイルがランサムウェアに感染し、暗号化される可能性があります:
- OneDriveはローカルコンピュータのローカルフォルダにマウントされており、OneDriveに保存されたファイルは関連するローカルフォルダと同期されます。ローカルコンピュータがランサムウェアに感染した場合、ランサムウェアはOneDriveと同期されているフォルダ内のファイルを含め、アクセス可能なすべてのファイルを暗号化します。 その結果、Web インターフェースから OneDrive にアクセスすると、暗号化された(つまり、破損した)ファイルが表示されます。ランサムウェアは OneDrive の暗号化を開始し、その後、他のドライブやアクセス可能なすべての保存場所を暗号化します。
- 攻撃者があなたの認証情報を入手した場合、あなたのユーザーアカウントからアクセス可能なファイルがランサムウェアによって暗号化される可能性があります。
- フィッシングリンクをクリックすると、被害者のコンピュータにウイルス、マルウェア、ランサムウェアがダウンロードされ、実行されてしまいます。ランサムウェアは、アクセスしたファイルを破損させます。
- OneDriveへのアクセス許可を求める悪意のあるアドオンや拡張機能は危険であり、ランサムウェア感染の侵入経路となる可能性があります。アドオンや拡張機能の説明をよく読み、インストールする前に提供元を確認してください。
OneDriveはどれほど安全なのでしょうか?OneDriveはセキュアなのでしょうか?OneDriveのセキュリティレベルはどの程度なのでしょうか?こうした疑問は、Microsoft 365の新規ユーザーの間でよく聞かれます。OneDriveは十分に安全かつセキュアです。ただし、ランサムウェア攻撃から身を守る方法を知り、セキュリティに関する推奨事項に従い、万が一OneDriveがハッキングされた場合の対処法を理解しておく必要があります。マイクロソフトは、OneDriveに保存されたファイルの一括削除や暗号化といった不審な活動を検知する、新しい組み込み型のランサムウェア検知機能を発表しました。 ユーザーには、端末上のアラートメッセージやメールを通じて通知が届きます。また、推奨される対処法のリストも表示されます。しかし、何よりも重要なのは、OneDriveへのランサムウェア攻撃によってファイルが破損する事態を未然に防ぐことです。このブログ記事の次のセクションで、フォルダーをランサムウェアから守る方法についてお読みください。
ランサムウェア攻撃からOneDriveを守る方法
このセクションでは、ランサムウェアから身を守る方法と、OneDrive におけるランサムウェア対策の戦略について説明します。これらの推奨事項に従うことで、ランサムウェアに感染したり、データを失ったりするリスクを軽減できます。
認証情報を保護する
Microsoft 365 管理者アカウントの認証情報を保護してください。攻撃者が管理者の認証情報を盗み出すと、OneDrive ストレージに保存されている組織のすべてのデータ(組織内の全ユーザーのデータを含む)を盗み出したり、破損させたりする可能性があります。
ユーザーの認証情報を保護してください。ユーザーのアカウントが盗まれると、攻撃者はそのユーザーの個人データや共有データにアクセスしたり、ランサムウェアを拡散させたり、ファイルを感染させたりすることが可能になります。 共有 OneDrive ストレージに保存されたファイルが感染すると、その共有ストレージにアクセスする他のユーザーも感染する可能性があります。
2 段階認証を有効にしてください。Microsoft 365 は多要素認証をサポートしています。この追加のセキュリティ手順により、ユーザーはアカウントの乗っ取りや認証情報の盗難からアカウントを保護できます。管理者権限を持つ Microsoft 365 アカウントを保護するために、多要素認証または 2 段階認証を使用することをお勧めします。以下は、この件に関するブログ記事です。 Microsoft 365 の二要素認証.
各コンピュータを保護する
組織内のコンピューターを保護してください。ウイルス対策ソフトウェアおよびマルウェア対策ソフトウェアをインストールし、設定を行ってください。この推奨事項に従うことで、ランサムウェアがユーザーのコンピューターや、それらのコンピューター上の同期された OneDrive フォルダー(ローカルフォルダーにマップされた OneDrive ストレージ)に保存されているファイルに感染するリスクを軽減できます。サーバーや仮想マシンについても忘れずに設定してください。
保存されているファイルの実行をブロックする %appdata%, %localappdata%. デフォルトでは、Windowsのアプリケーションはこれらのディレクトリを使用してデータを保存します。一時ファイルやダウンロードしたデータがそこに保存されることがあります。ランサムウェアのファイルがダウンロードされると、それらはこれらのフォルダ内に偽装・隠蔽され、その後実行される可能性があります。
Microsoft Office文書内のマクロをブロックしてください。マクロは業務用途ではほとんど使用されませんが、深刻な問題の原因となります。 広く利用されている感染手法の一つに、悪意のあるマクロを含むドキュメントを配布する方法があります。これによりランサムウェア攻撃が開始され、コンピュータが感染した後、ネットワークを介して他のコンピュータへ拡散します。
ソフトウェアを更新し、セキュリティパッチを適用して、ランサムウェアがシステムに侵入・感染するために悪用され得る既知のソフトウェアの脆弱性を修正してください。Windows およびアプリケーションの自動更新を有効にすることができます。セキュリティ設定が不十分な場合、攻撃者はパッチが適用されていないソフトウェアの脆弱性を悪用してランサムウェア攻撃を開始する可能性があります。そのため、パッチの適用が重要です。
ユーザーへの啓発
ユーザーにフィッシング攻撃を見抜く方法を教育しましょう。攻撃者は、ユーザーが経験不足であり、メールに添付されたファイルをすべてダウンロードし、ファイルを開き、リンクをすべてクリックすると想定していることがよくあります。私たちの役割は、ユーザーに脅威について知らせ、不審なコンテンツを見分ける方法を教えることです。
最も一般的なランサムウェアの攻撃手法は、ユーザーへのフィッシングメールの送信です。 悪意のあるリンクは、正規のリンクのように見せかけていますが、ユーザーをリダイレクトしてランサムウェアをダウンロード・インストールさせるように仕組まれています。リンクにカーソルを合わせ、URLアドレスのスペルを確認してください。たとえ1文字でも間違っている場合は、リンクをクリックしないでください。送信者のメールアドレスも、リンクと同様に偽装される可能性があります。送信者が誰か分からず、その送信者からのメッセージを望まない場合は、その送信者からのメールをスキップするか、拒否した方が良いでしょう。 メールに添付されたファイルはダウンロードしたり開いたりしないでください。マクロを含むWordやExcel文書を開く際の脅威に注意してください。
メール内の有害なリンクや偽のウェブページは危険です。攻撃者は偽のページを作成し、メールでそのページへのリンクを送信することがあります。偽のページは本物のように見えますが、ページ上の要素をクリックしたり、認証情報を入力したりすると、アカウントの喪失やランサムウェアへの感染につながる可能性があります。
ウェブサイトのアドレスが本物で正当なものであっても、攻撃者がウェブサイトをハッキングし、そのサイトに悪意のあるコードを埋め込む可能性があることに注意してください。そのようなウェブサイトにアクセスした後、ユーザーはランサムウェアに感染する可能性があります。最新の状態に更新された優れたウイルス対策ソフトウェアがあれば、このような場合の感染を防ぐことができます。
攻撃者は、ソーシャルエンジニアリングの手法や、メールメッセージ内の"緊急""重要"などのラベルを使用して、被害者を焦らせ、内容を確認する注意をそらすことがあります。 Skypeやその他のサービスからメッセージを受け取った際は注意が必要です。攻撃者がユーザーアカウントをハッキングし、そのユーザーを装ってメッセージを送信する可能性があることを念頭に置いてください。この場合、ユーザーアカウント自体は本物ですが、ハッキングされたアカウントから送信されたリンクやファイルは脅威となる可能性があります。
ユーザーが不審なコンテンツを見分ける訓練を受けていれば、フィッシングメールを介したランサムウェア攻撃のリスクは大幅に低減されます。破損したファイルを復元するよりも、OneDriveへのランサムウェア攻撃を未然に防ぐ方が常に望ましいです。
メール保護システムを利用する
Exchange Online Protection をご利用ください。この Microsoft 365 の標準ツールを使用すると、安全なリンク フィルターや安全な添付ファイル フィルターなどの追加の保護フィルターを設定できます。
フィッシング対策ポリシーを設定します。 Exchange Online Protection では、信頼できる送信者、不審な送信者、脅威となる添付ファイル、および感染したサイトへのなりすましリンクや悪意のあるリンクを判別できます。設定により、なりすまし送信者や不要なメールをブロックできます。
Word/Excel ドキュメント内のマクロ、VBScript、JavaScript などの添付ファイルに含まれるアクティブ コンテンツをブロックします。詳細については、以下のブログ記事をご覧ください。 Exchange Online Protection この機能の詳細については、こちらをご覧ください。
クラウド保護システムを活用する
Microsoft 365 環境で Microsoft 365 Defender を有効にしてください。Microsoft 365 Defender は、Office 365 の新しい名称です。 高度な脅威対策 (Microsoft Defender for Office 365)。この機能は、組織内の Microsoft 365 ユーザーがランサムウェアに感染するリスクを軽減するのに役立ちます。Microsoft 365 Defender の主な機能は、脅威のインテリジェントな検出、自動調査、および高度なランサムウェア攻撃に対する統合的な保護です。Microsoft 365 Defender は、Microsoft 365 セキュリティ センターで設定できます。ユーザーへの教育を実施し、インテリジェントなソフトウェアを有効にすることで、保護レベルは大幅に向上します。
バージョン管理を使用する
OneDriveの設定でバージョン管理(バージョン履歴)を有効にしてください。ランサムウェアによってOneDriveに保存されたオブジェクトが暗号化された場合、暗号化されるのはファイルの最新バージョンだけです。以前のファイルバージョンを選択して、必要なファイルを復元することができます。ただし、ファイルを復元する前に、感染したコンピュータからランサムウェアを削除し、ファイルが再度暗号化されるのを防ぐ必要があることを忘れないでください。 なお、以前のファイルバージョンを復元して何千ものファイルを復旧するには時間がかかります。この場合、適切な OneDrive バックアップがあれば、時間とリソースを節約できます。OneDrive のバージョン履歴を使用すると、過去 30 日以内に変更された任意のバージョンに、OneDrive に保存されているファイルを復元できます。OneDrive の削除済みファイル(ごみ箱に保存されているファイル)の保持設定を確認してください。
保持ポリシーを設定します。Microsoft 365 情報保持方針 削除されたデータが完全に消去されるまでの保存期間を定義します。なお、クラウドにデータを保存し続けるとストレージ容量を消費するため、追加費用が発生する可能性があります。
OneDriveに保存されているデータのバックアップを取る
OneDriveに保存されているデータをバックアップしてください。上記のオプションの一部は、すべてのMicrosoft 365サブスクリプションプランで利用可能とは限らず、おそらく上位のサブスクリプションプランでのみ利用可能です。Microsoftでは、データ損失が発生してから2週間以内であれば、サポートを依頼してOffice 365クラウドストレージ内のすべてのデータを復元することができますが、詳細な復元オプションはなく、復元に必要なオブジェクトを選択することはできません。
バックアップは、クラウドまたはオンプレミスの安全な場所に保管してください。 バックアップリポジトリは十分に保護され、他のユーザーと共有されないようにする必要があります(バックアップソフトウェアと管理者のみがアクセスできるようにする必要があります)。
データをバックアップするには NAKIVO Backup & Replication
使用 NAKIVO Backup & Replication OneDrive を保護するため。 NAKIVO Backup & Replication 対応しています Microsoft 365のバックアップ OneDrive、Exchange Online、SharePoint Online に保存されているデータを含みます。OneDrive のデータをバックアップし、最大 4,000 個の復元ポイントを作成できます。その後、これらの復元ポイントを使用して、必要なバージョンのファイルを復元できます。きめ細かな復元機能により、ユーザーの特定のファイルやフォルダーを元の場所または指定した場所に復元できます。1 つのインスタンスの NAKIVO Backup & Replication 数千ものOffice 365ユーザーアカウントを保護できます。OneDriveのデータは、ローカルサーバー上に保存されたオンプレミスのバックアップリポジトリにバックアップされます。設定は直感的なWebインターフェースで行います。
に関するその他のブログ記事を読む ランサムウェアからの復旧, ランサムウェア NASデバイスへの攻撃 動作原理やランサムウェア対策について詳しく知るには。
OneDriveのファイルを復元する方法
ファイルがランサムウェアによって暗号化されてしまった場合、決して身代金を支払ってはいけません。身代金を支払うことは、攻撃者がより多くの金銭を得るためにさらなる攻撃を仕掛ける動機となります。また、身代金を支払ったとしても、ファイルが完全または部分的に復元されるという保証はありません。ランサムウェア攻撃を受けてOneDriveのファイルが暗号化されていることに気付いた場合は、Microsoftの標準ツールを使用するか、サードパーティ製のデータ保護ソフトウェアを利用してバックアップからデータを復元する必要があります。
まず、組織内のすべてのコンピュータからランサムウェアを削除してください。組織内のユーザーアカウントで Microsoft 365 の標準機能が有効になっている場合は、OneDrive ファイルを以前のバージョンまたはごみ箱(第 2 段階のごみ箱を含む)から復元してください。バックアップがある場合は、バックアップからデータを復元してください。
OneDrive のバックアップと復元に関する詳細はこちら NAKIVO Backup & Replication で このブログ記事.
結論
このブログ記事では、OneDriveをランサムウェア攻撃から守るための対策について解説し、OneDriveへのランサムウェア攻撃を防ぐのに役立つ大まかな推奨事項を紹介しました。 技術的な観点からデータを保護する必要があります。すべてのマシンで使用されるソフトウェアのセキュリティ設定を適切に構成し、データのバックアップ設定を行ってください。さらに、攻撃者は一般ユーザーを介してOneDriveランサムウェア攻撃を開始するために、いくつかの特定の方法を頻繁に利用するため、ランサムウェア攻撃の兆候を認識する方法についてユーザーへの教育を行う必要があります。
バックアップは、ランサムウェアによってファイルが破損した場合にデータを復元するための最も信頼できる方法です。 NAKIVO Backup & Replication OneDriveに保存されているデータを保護するため。
