次の方法で共有

Azure Firewall Premium でランサムウェア攻撃に対するセキュリティ防御力を高める

  • [アーティクル]

この記事では、ランサムウェア対策としての Azure Firewall Premium の効果について説明します。

ランサムウェアとは

ランサムウェアとは、コンピューター システムを利用できない状態にしたうえで、それを元に戻す対価として金銭の支払いを要求する悪意のあるソフトウェアの種類です。 攻撃者は通常、システム内の既存の脆弱性を悪用してネットワークに侵入し、ターゲットのホストで悪意のあるソフトウェアを実行します。

ランサムウェアは多くの場合、悪意のある添付ファイルを含んだフィッシング メールやドライブバイ ダウンロードを介して拡散されます。 ドライブバイ ダウンロードは、感染している Web サイトをユーザーが気付かずに訪問し、身に覚えのないマルウェアをダウンロード、インストールすることで発生します。

悪意のあるネットワーク アクティビティから保護する

ネットワーク侵入検出と防止システム (IDPS) を使用すると、ネットワークを監視して悪意のあるアクティビティがないか確認し、このアクティビティに関する情報をログに記録し、それを報告して、必要に応じてそのブロックを試みることができます。

Azure Firewall Premium は、悪意のあるアクティビティを特定し、ネットワークへの侵入を阻止するために、各パケットをそのすべてのヘッダーとペイロードを含め、隅々まで検査するシグネチャベースの IDPS を提供します。

IDPS のシグネチャは、アプリケーション レベルとネットワーク レベルの両方のトラフィック (レイヤー 4 から 7) に適用でき、フル マネージドで、また、シグネチャの数は 50 種類を超えるカテゴリ 65,000 超に上ります。 絶えず変化する動的な攻撃環境に対して、それら (IDPS シグネチャ?) を最新の状態に保つために、

今日、インターネット トラフィックのセキュリティを確保するために、最新の暗号化 (SSL/TLS) がグローバルに使用されています。 攻撃者は、その悪意のあるソフトウェアを、暗号化を使用して標的のネットワークに送り込みます。 そのため、お客様は、その暗号化されたトラフィックを他のあらゆるトラフィックと同じように検査する必要があります。

暗号化されていないトラフィックについては、Azure Firewall Premium IDPS ですべてのポートとプロトコルの攻撃を検出できます。 一方、HTTPS トラフィックを検査する必要がある場合、Azure Firewall はその TLS 検査機能を使用してトラフィックの暗号化を解除し、悪意のあるアクティビティを正確に検出できます。

ランサムウェアは、ターゲット マシンにインストールされた後、マシンのデータの暗号化を試みる場合があります。 暗号化キーが必要となりますが、ランサムウェアは、コマンド アンド コントロール (C&C) を使用することで、攻撃者によってホストされた C&C サーバーから暗号化キーを取得できます。 C&C を使用して必要な暗号化キーを取得するランサムウェアの例として、CryptoLocker、WannaCry、TeslaCrypt、Cerber、Locky などがあります。

Azure Firewall Premium には、C&C 接続を検出してブロックし、攻撃者によるデータの暗号化を阻止するよう設計された数百のシグネチャがあります。 次の図は、C&C チャンネルを使用したランサムウェア攻撃に対する Azure Firewall の防御を示しています。

コマンドと制御チャネルを使用したランサムウェア攻撃に対するファイアウォール保護

ランサムウェア攻撃を回避する

ランサムウェア攻撃を回避する包括的なアプローチをお勧めします。 Azure Firewall は既定の拒否モードで動作するため、管理者によって明示的に許可されない限り、アクセスはブロックされます。 アラート/拒否モードで脅威インテリジェンス (TI) 機能を有効にすると、悪意のある既知の IP とドメインに対するアクセスがブロックされます。 Microsoft の脅威インテリジェンス フィードは、新たに発生した脅威に基づいて絶えず更新されています。

ファイアウォールの構成は、ファイアウォール ポリシーを使用して一元化できます。 これには脅威への対応を迅速化する効果があります。 ユーザーは複数のファイアウォールに対し、ほんの数回のクリックで脅威インテリジェンスと IDPS を有効にできます。 Web カテゴリでは、管理者は、ギャンブルの Web サイトやソーシャル メディアの Web サイトなどの Web カテゴリへのユーザーのアクセスを許可または拒否できます。 URL フィルタリングを使用すると、外部サイトへのアクセス範囲を制限してリスクをさらに軽減できます。 つまり、マルウェアとランサムウェアに対する包括的防御を企業が行うために必要な要素が、Azure Firewall にはすべて揃っているということです。

検出は、防止と同じぐらい重要です。 Azure Sentinel の Azure Firewall ソリューションなら、デプロイしやすいソリューションの形式で検出と防止の両方の効果が得られます。 防止と検出を組み合わせることで、高度な脅威を可能な限り防ぐと共に、"侵害を想定するという姿勢" を貫き、サイバー攻撃を検出してそれにすばやく対応することができるのです。

次のステップ

Azure におけるランサムウェア攻撃に対する防御の詳細と、資産をプロアクティブに保護する方法のガイダンスについては、「Azure でのランサムウェア対策」を参照してください。

Azure Firewall Premium の詳細については、以下を参照してください。