Microsoft 365 のマルウェアとランサムウェアの保護

マルウェアから顧客データを保護する

マルウェアは、ウイルス、スパイウェア、その他の悪意のあるソフトウェアで構成されます。 Microsoft 365 には、クライアントまたは Microsoft 365 サーバーによってマルウェアが Microsoft 365 に導入されないようにするための保護メカニズムが含まれています。 マルウェア対策ソフトウェアの使用は、悪意のあるソフトウェアから Microsoft 365 資産を保護するための主要なメカニズムです。 マルウェア対策ソフトウェアは、コンピューター ウイルス、マルウェア、ルートキット、ウォーム、およびその他の悪意のあるソフトウェアがサービス システムに導入されるのを検出して防止します。 マルウェア対策ソフトウェアは、悪意のあるソフトウェアに対する予防と探偵の両方の制御を提供します。

各マルウェア対策ソリューションは、ソフトウェアのバージョンと実行されている署名を追跡します。 ベンダーのウイルス定義サイトから少なくとも毎日、署名更新プログラムの自動ダウンロードと適用は、各サービス チームに適したマルウェア対策ツールによって一元的に管理されます。 次の機能は、各サービス チームの各エンドポイント上の適切なマルウェア対策ツールによって一元的に管理されます。

• 環境の自動スキャン
• ファイル システムの定期的なスキャン (少なくとも毎週)
• ダウンロード、開く、または実行されたファイルのリアルタイム スキャン
• ベンダーのウイルス定義サイトから少なくとも毎日、署名更新プログラムの自動ダウンロードと適用
• 検出されたマルウェアのアラート、クリーニング、軽減策

マルウェア対策ツールはマルウェアを検出すると、マルウェアをブロックし、Microsoft 365 サービス チームの担当者、Microsoft 365 セキュリティ、またはデータセンターを運営する Microsoft 組織のセキュリティおよびコンプライアンス チームにアラートを生成します。 受信担当者がインシデント対応プロセスを開始します。 インシデントは追跡および解決され、事後分析が実行されます。

マルウェアに対するExchange Online Protection

Exchange Onlineのすべての電子メール メッセージは、Exchange Online Protection (EOP) を経由し、ウイルスやその他のマルウェアのためにシステムに出入りするすべての電子メールと電子メールの添付ファイルをリアルタイムで検疫およびスキャンします。 管理者は、フィルター処理テクノロジを設定または管理する必要はありません。これらは既定で有効になっています。 ただし、管理者は、Exchange 管理センターを使用して会社固有のフィルター処理のカスタマイズを行うことができます。

EOP は、複数のマルウェア対策エンジンを使用して、既知のマルウェアすべてを捕捉するよう設計された多層的な保護を提供します。 サービスを介して転送されたメッセージは、マルウェア (ウイルスやスパイウェアを含む) をスキャンします。 マルウェアが検出された場合は、メッセージは削除されます。 感染したメッセージが削除され、配信されない場合、送信者または管理者に通知を送信することもできます。 感染した添付ファイルを、マルウェアが検出されたことを受信者に通知する既定またはカスタムのメッセージで置換することもできます。

次は、マルウェア対策の保護に役立ちます。

• マルウェアに対する多層防御 - EOP で使用される複数のマルウェア対策スキャン エンジンは、既知の脅威と不明な脅威の両方から保護するのに役立ちます。 これらのエンジンには、強力な発見的検出機能が組み込まれており、マルウェアのアウトブレイクの初期段階であっても保護が可能です。 このマルチエンジン アプローチが、1 種類のマルウェア対策エンジンを使用するよりはるかに強力な保護を提供することは明らかです。
• リアルタイムの脅威対応 - 一部の大規模感染の間、マルウェア対策チームは、サービスで使用されるエンジンから定義が使用可能になる前であっても、脅威を検出する高度なポリシー ルールを記述するのに十分な情報をマルウェア対策チームが持っている可能性があります。 これらのルールは、グローバル ネットワークで 2 時間ごとに公開されるため、各組織はそれを使用して攻撃に対する保護層をさらに強化できます。
• 高速マルウェア対策定義の展開 - マルウェア対策チームは、マルウェア対策エンジンを開発するパートナーと密接な関係を維持します。 その結果、サービスは、マルウェア定義が一般にリリースされる前に、その定義を受け取って統合し修正することができます。 多くの場合、これらのパートナーとの関係が、Microsoft 独自の優れた修正方法の開発につながっています。 サービスは、すべてのマルウェア対策エンジンの更新された定義を 1 時間ごとに確認します。

Microsoft Defender for Office 365

Microsoft Defender for Office 365は、マルウェアやウイルスなど、特定の種類の高度な脅威に対する追加の保護を提供する電子メール フィルター サービスです。 Exchange Online Protectionは現在、既知のマルウェアやウイルスに対して複数のエンジンを搭載した堅牢で階層化されたウイルス対策を使用しています。 Microsoft Defender for Office 365は、未知のマルウェアやウイルスから保護する安全な添付ファイルと呼ばれる機能を通じてこの保護を拡張し、メッセージング システムを保護するためのゼロデイ保護を強化します。 既知のウイルス/マルウェアシグネチャを持たないすべてのメッセージと添付ファイルは、特別なハイパーバイザー環境にルーティングされます。そこでは、悪意のある意図を検出するために、さまざまな機械学習と分析手法を使用して動作分析が実行されます。 不審な動作が検出されないと、メッセージが解放されてメールボックスに配信されます。

Exchange Online Protectionまた、Microsoft 365 で転送中の各メッセージをスキャンし、配信保護の時間を提供し、メッセージ内の悪意のあるハイパーリンクをブロックします。 攻撃者は、メッセージを受信した後に転送サービスによって安全でないサイトにリダイレクトされる、一見安全なリンクを持つ悪意のある URL を非表示にしようとすることがあります。 セーフ リンクは、ユーザーがそのようなリンクを選択した場合、ユーザーをプロアクティブに保護します。 その保護は、リンクを選択するたびに維持され、悪意のあるリンクは動的にブロックされますが、適切なリンクにアクセスできます。

Microsoft Defender for Office 365には、豊富なレポート機能と追跡機能も用意されているため、組織の対象ユーザーと、直面している攻撃のカテゴリに関する重要な分析情報を得ることができます。 レポートとメッセージ トレースを使用すると、不明なウイルスやマルウェアが原因でブロックされたメッセージを調査できますが、URL トレース機能を使用すると、クリックされたメッセージ内の個々の悪意のあるリンクを追跡できます。

Microsoft Defender for Office 365の詳細については、「Exchange Online ProtectionとMicrosoft Defender for Office 365」を参照してください。

ランサムウェアに対する SharePoint Online とOneDrive for Business保護

ランサムウェア攻撃にはさまざまな形式がありますが、最も一般的な形式の 1 つは、悪意のある個人がユーザーの重要なファイルを暗号化し、暗号化解除するキーと引き換えに、ユーザーに金銭や情報などの何かを要求することです。 ランサムウェア攻撃は増加傾向にあります。特に、ユーザーのクラウド ストレージに格納されているファイルを暗号化する攻撃です。 ランサムウェアの詳細については、Microsoft Defenderセキュリティ インテリジェンス サイトを参照してください。

バージョン管理は、SharePoint Online リストと SharePoint Online および OneDrive for Business ライブラリを、これらの種類のランサムウェア攻撃の一部 (ただしすべてではない) から保護するのに役立ちます。 OneDrive for Businessおよび SharePoint Online では、既定でバージョン管理が有効になっています。 SharePoint Online サイト リストではバージョン管理が有効になっているため、以前のバージョンを確認し、必要に応じて復旧できます。 これにより、ランサムウェアによって暗号化が事前に行われるアイテムのバージョンを回復できます。 また、一部の組織では、法的理由または監査目的で、複数のバージョンのアイテムをリストに保持しています。

SharePoint Online とOneDrive for Businessごみ箱

SharePoint Online 管理者は、SharePoint Online 管理センターを使用して、削除されたサイト コレクションを復元できます。 SharePoint Online ユーザーには、削除されたコンテンツが格納されているごみ箱があります。 必要であれば、ユーザーは削除された文書やリストを回復するためにごみ箱にアクセスすることができます。 ごみ箱内のアイテムは 93 日間保持されます。 以下のデータ型はごみ箱に入ります。

• サイト コレクション
• サイト
• リスト
• ライブラリ
• フォルダー
• リスト アイテム
• ドキュメント
• Web パーツ ページ

SharePoint デザイナーを使用して行われたサイトのカスタマイズは、ごみ箱ではキャプチャされません。 詳細については、「 サイト コレクションのごみ箱から削除されたアイテムを復元する」を参照してください。 「削除されたサイト コレクションを復元する」も参照してください。

バージョン管理では、ファイルをコピーして暗号化し、元のファイルを削除するランサムウェア攻撃から保護されません。 ただし、エンドユーザーはごみ箱を利用して、ランサムウェア攻撃が発生した後OneDrive for Businessファイルを回復できます。

次のセクションでは、Microsoft が組織とその資産に対するサイバー攻撃のリスクを軽減するために使用する防御と制御について詳しく説明します。

Microsoft がランサムウェア攻撃によるリスクを軽減する方法

Microsoft では、組織とその資産に対するランサムウェア攻撃のリスクを軽減するために使用する防御と制御が組み込まれています。 資産は、各ドメインに独自のリスク軽減策のセットを持つドメインごとに編成できます。

ドメイン 1: テナント レベルコントロール

最初のドメインは、組織を構成するユーザーと、組織が所有および管理するインフラストラクチャとサービスです。 Microsoft 365 の次の機能は、リスクを軽減し、このドメイン内の資産の正常な侵害から回復するために、既定でオンになっているか、構成できます。

Exchange Online

• 単一アイテムの回復とメールボックスのリテンション期間により、お客様は不注意または悪意のある早期削除時にメールボックス内のアイテムを回復できます。 お客様は、既定で 14 日以内に削除されたメール メッセージをロールバックでき、最大 30 日間構成できます。

• Exchange Online サービス内のこれらのアイテム保持ポリシーの追加の顧客構成では、次のことができるようになります。

  • 適用される構成可能なリテンション期間 (1 年/10 年以上)
  • 適用する書き込み保護時のコピー
  • 保持ポリシーをロックして不変性を実現する機能

• Exchange Online Protectionは、受信したメールと添付ファイルを、システムへの入退出の両方でリアルタイムでスキャンします。 これは既定で有効になっており、フィルター処理のカスタマイズを使用できます。 ランサムウェアまたはその他の既知または疑わしいマルウェアを含むメッセージは削除されます。 これが発生したときに通知を受信するように管理者を構成できます。

SharePoint Online とOneDrive for Business保護

SharePoint Online と OneDrive for Business Protection には、ランサムウェア攻撃から保護するのに役立つ機能が組み込まれています。

バージョン管理: バージョン管理では既定で少なくとも 500 バージョンのファイルが保持されるため、ランサムウェアがファイルを編集して暗号化した場合は、以前のバージョンのファイルを復元できます。

ごみ箱: ランサムウェアによってファイルの新しい暗号化されたコピーが作成され、古いファイルが削除された場合、顧客はごみ箱から復元するのに 93 日間かかる場合があります。

保持保持ライブラリ: SharePoint サイトまたは OneDrive サイトに格納されているファイルは、保持設定を適用することで保持できます。 バージョンが含まれるドキュメントが保持設定の対象になると、バージョンは保持保持ライブラリにコピーされ、別のアイテムとして存在します。 ユーザーは、ファイルが侵害されたと思われる場合は、保持されたコピーを確認してファイルの変更を調査できます。 ファイルの復元は、過去 30 日以内にファイルを回復するために使用できます。

Teams

Teams チャットはExchange Onlineユーザー メールボックス内に格納され、ファイルは SharePoint Online またはOneDrive for Businessに格納されます。 Microsoft Teams のデータは、これらのサービスで使用できるコントロールと回復メカニズムによって保護されます。

ドメイン 2: サービス レベルコントロール

2 つ目のドメインは、Microsoft を組織として構成するユーザーと、ビジネスの組織機能を実行するために Microsoft が所有および管理する企業インフラストラクチャです。

企業資産をセキュリティで保護する Microsoft のアプローチはゼロ トラストであり、デジタル資産全体の防御を備えた独自の製品とサービスを使用して実装されています。 ゼロ トラストの原則の詳細については、「ゼロ トラスト アーキテクチャ」を参照してください。

Microsoft 365 の追加機能により、ドメイン 1 で使用できるリスク軽減策が拡張され、このドメイン内の資産がさらに保護されます。

SharePoint Online とOneDrive for Business保護

バージョン管理: ランサムウェアによってファイルが暗号化された場合、編集として、Microsoft が管理するバージョン履歴機能を使用して、ファイルを最初のファイル作成日まで回復できます。

ごみ箱: ランサムウェアによってファイルの新しい暗号化されたコピーが作成され、古いファイルが削除された場合、お客様はごみ箱から復元するのに 93 日かかっています。 93 日後には、Microsoft がデータを回復できる 14 日間のウィンドウが表示されます。 このウィンドウの後、データは完全に削除されます。

Teams

ドメイン 1 で説明されている Teams のリスク軽減策は、ドメイン 2 にも適用されます。

ドメイン 3: 開発者 & サービス インフラストラクチャ

3 番目のドメインは、Microsoft 365 サービス、サービスを提供するコード、インフラストラクチャ、およびデータのストレージと処理を開発して運用するユーザーです。

Microsoft 365 プラットフォームをセキュリティで保護し、このドメインのリスクを軽減する Microsoft 投資は、次の分野に重点を置いています。

• サービスのセキュリティ体制の継続的な評価と検証
• サービスを侵害から保護するツールとアーキテクチャを構築する
• 攻撃が発生した場合に脅威を検出して対応する機能を構築する

セキュリティ体制の継続的な評価と検証

• Microsoft は、 最小特権の原則を使用して Microsoft 365 サービスを開発および運用するユーザーに関連するリスクを軽減します。 つまり、リソースへのアクセスとアクセス許可は、必要なタスクを実行するために必要なもののみに制限されます。
  • Just-In-Time (JIT) Just-Enough-Access (JEA) モデルは、Microsoft エンジニアに一時的な特権を提供するために使用されます。
  • エンジニアは、管理者特権を取得するために特定のタスクの要求を送信する必要があります。
  • 要求は Lockbox を使用して管理され、Azure ロールベースのアクセス制御 (RBAC) を使用して、エンジニアが行うことができる JIT 昇格要求の種類を制限します。
• 上記に加えて、Microsoft の候補者はすべて、Microsoft での雇用を開始する前に事前にスクリーニングされます。 米国で Microsoft オンライン サービスを管理する従業員は、オンライン サービス システムにアクセスするための前提条件として Microsoft Cloud バックグラウンド チェックを受ける必要があります。
• すべての Microsoft 従業員は、Standard of Business Conduct トレーニングと共に、基本的なセキュリティ認識トレーニングを完了する必要があります。

サービスを保護するツールとアーキテクチャ

• Microsoft のセキュリティ開発ライフサイクル (SDL) は、アプリケーションのセキュリティを向上させ、脆弱性を軽減するためのセキュリティで保護されたソフトウェアの開発に重点を置きます。 詳細については、「 セキュリティとセキュリティの開発と運用の概要」を参照してください。
• Microsoft 365 では、サービス インフラストラクチャのさまざまな部分間の通信を、運用に必要なもののみに制限します。
• ネットワーク トラフィックは、境界ポイントに追加のネットワーク ファイアウォールを使用してセキュリティで保護され、ネットワーク攻撃の検出、防止、軽減に役立ちます。
• Microsoft 365 サービスは、お客様から明示的に要求および承認されない限り、顧客データへのアクセスを必要とするエンジニアなしで動作するように設計されています。 詳細については、 Microsoft が顧客データを収集および処理する方法に関するページを参照してください。

検出機能と応答機能

• Microsoft 365 は、継続的なシステムのセキュリティ モニタリングを行うことで、Microsoft 365 サービスへの脅威を検出し、対応しています。
• 一元的なログ記録は、セキュリティ インシデントを示す可能性があるアクティビティのログ イベントを収集して分析します。 ログ データは、アラート システムにアップロードされると分析され、ほぼリアルタイムでアラートが生成されます。
• クラウドベースのツールを使用すると、検出された脅威に迅速に対応できます。 これらのツールは、自動的にトリガーされるアクションを使用して修復を有効にします。
• 自動修復が不可能な場合は、検出された脅威を軽減するためにリアルタイムで動作できる一連のツールを備えた適切なオンコール エンジニアにアラートが送信されます。

ランサムウェア攻撃から回復する

Microsoft 365 でのランサムウェア攻撃から回復する手順については、「Microsoft 365 でのランサムウェア攻撃からの回復」を参照してください。

その他のランサムウェア リソース

Microsoft からの主な情報

• ランサムウェアの脅威の増大、2021 年 7月 20 日付け Microsoft On the Issues のブログ投稿
• 人が操作するランサムウェア
• ランサムウェアや強要から迅速に保護する
• 最新の Microsoft セキュリティ インテリジェンス レポート( 22-24 ページを参照してください)
• ランサムウェア: Microsoft 365 Defender ポータルの脅威分析ノードの蔓延する継続的な脅威に関するレポート (これらの「ライセンス要件」 を参照ください)

Microsoft 365

• Microsoft 365 テナントにランサムウェア保護を展開する
• ランサムウェア攻撃から回復する
• ランサムウェアから Windows 10 PC を保護する
• SharePoint Online でのランサムウェアの処理

Microsoft 365 Defender

• 高度な検索でランサムウェアを検索する

Microsoft Azure

• ランサムウェア攻撃に対する Azure 防御
• ランサムウェアから保護するためのバックアップと復元の計画
• Microsoft Azure バックアップを使用してランサムウェアから保護する (26 分のビデオ)
• 体系的な ID 侵害からの回復
• Microsoft Sentinel での高度な多段階攻撃検出
• Microsoft Sentinel でのランサムウェアのフュージョン検出
• Azure でのランサムウェアの保護
• ランサムウェア攻撃の準備
• ランサムウェア攻撃を検出して対応する
• Azure には、保護、検出、応答に役立つリソースが用意 & されています
• ランサムウェアから保護するための Azure バックアップと復元の計画

Microsoft Defender for Cloud Apps

• Defender for Cloud Apps で異常検出ポリシーを作成する

Microsoft Security チームのブログ記事

• ランサムウェアを防止して回復するための 3 つの手順 (2021 年 9 月)

• サイバーセキュリティ リスクを理解することで回復力を高める パート 4—現在の脅威をナビゲートする(2021 年 5 月)

  「ランサムウェア」セクションを参照 してください。

• 人が操作するランサムウェア攻撃: 予防可能な災害 (2020 年 3 月)

  実際の攻撃の攻撃チェーン分析が含まれます。

• ランサムウェアの応答 - 支払うかどうか。 (2019 年 12 月)

• Norsk Hydro のランサムウェア攻撃に対する透明性のある対応 (2019 年 12 月)