次の方法で共有

Azure でのランサムウェア対策

ランサムウェアと脅迫は、低コストで高い利益を得るビジネスとなっており、対象となる組織、国家や地域の安全、経済の安全、および公共の正常性と安全性に有害な影響を与えます。 PC をターゲットにした単純な構造の単一のランサムウェアが成長し、あらゆる種類の企業ネットワークとクラウド プラットフォームを狙ったさまざまな脅迫の手法が導入されています。

Azure で実行しているお客様がランサムウェア攻撃から保護されるように、Microsoft はクラウド プラットフォームのセキュリティに多額の投資を行い、Azure クラウド ワークロードを保護するために必要なセキュリティ制御を提供します。

Azure ネイティブランサムウェア保護を使用し、この記事で推奨されるベスト プラクティスを実装することで、Azure 資産に対する潜在的なランサムウェア攻撃を防ぎ、保護し、検出するように組織を位置付ける対策を講じています。

この記事では、主な Azure ネイティブ機能とランサムウェア攻撃に帯する防御について説明し、これらを積極的に使用して Azure クラウド上のアセットを保護する方法についてのガイダンスを示します。

ヒント

すべての Microsoft プラットフォームとサービスにわたる包括的なランサムウェア保護ガイダンスについては、「 ランサムウェアや強要から組織を保護する」を参照してください。 ランサムウェアとそのしくみについては、「ランサムウェアとは」を参照してください

Azure クラウド リソースの対象となる方法

クラウド インフラストラクチャを攻撃する場合、敵対者は多くの場合、顧客データまたは企業の機密情報へのアクセスを試みるために複数のリソースを攻撃します。 クラウドの「キルチェーン」モデルでは、攻撃者が、準備、潜入、横断的侵害、活動 4 つのステップのプロセスを通じて、パブリック クラウドで実行中のリソースへのアクセスを試みる方法を説明しています。

  1. 「準備」段階では、攻撃者は、インフラストラクチャにアクセスする機会を求めます。 たとえば、攻撃者は、正当なユーザーがアクセスできるように、顧客向けアプリケーションが開いている必要があることを把握しています。 このようなアプリケーションはインターネットに公開されるため、攻撃を受けやすくなります。
  2. 攻撃者は、公開を悪用して、パブリック クラウド インフラストラクチャにアクセスしようとします。 これは、侵害を受けたユーザーの資格情報、侵害されたインスタンス、または誤って構成されたリソースによって実行できます。
  3. 「横断的侵害」段階では、攻撃者はアクセスできるリソースとそのアクセスの範囲を特定します。 インスタンスへの攻撃が成功すると、攻撃者はデータベースやその他の機密情報にアクセスできるようになります。 次に、攻撃者はその他の資格情報を検索します。 Microsoft Defender for Cloud のデータによれば、攻撃を迅速に通知するセキュリティ ツールがない場合、組織が侵害を発見するのに平均 101 日かかります。 一方、侵害後、たった 24 ~ 48 時間で、攻撃者は通常、ネットワークを完全に制御できるようになります。
  4. 「横断的侵害」の後に攻撃者がとる行動は、「横断的侵害」の段階でアクセスできたリソースによって大きく異なります。 攻撃者は、データ流出やデータ損失を引き起こしたり、他の攻撃を開始したりする可能性があります。 データ損失における企業の平均的な財務的影響は現在、123 万ドルに達しています。

クラウド インフラストラクチャの攻撃方法を示すフローチャート: 準備、潜入、横断的侵害、活動

Azure 固有の攻撃ベクトル

Azure 環境をターゲットにしている場合、ランサムウェア攻撃者は多くの場合、以下を悪用します。

  • 正しく構成されていない Azure リソース: アクセス制御が弱いストレージ アカウント、データベース、または仮想マシンがパブリックに公開されている
  • 侵害された Azure 資格情報: Azure リソースへのアクセスを提供する盗まれた Azure AD アカウント、サービス プリンシパル、またはマネージド ID
  • 脆弱な Azure VM: リモート デスクトップ プロトコル (RDP) または SSH 経由でアクセスできる、パッチが適用されていない仮想マシン
  • 弱いネットワーク セキュリティ: ネットワーク セキュリティ グループ (NSG) または Azure Firewall 規則が正しく構成されていない
  • バックアップ保護が不十分: 不変性または MFA 保護がない Azure Backup 構成
  • ID のセキュリティが低い: 多要素認証または条件付きアクセス ポリシーのない Azure AD アカウント

Microsoft Defender for Cloud は、Azure 環境でこれらの脆弱性を継続的に監視します。 攻撃手法と防御戦略に関する包括的なガイダンスについては、「 ランサムウェアとは」を参照してください。

ランサムウェアに対する Azure ネイティブ保護

Azure には、攻撃ライフサイクルのすべての段階でランサムウェア攻撃から防御する組み込みの機能が用意されています。 身代金の支払いに対する最善の防御策は、Azure の堅牢なセキュリティ ツールを使用して予防措置を実装し、影響を受ける資産を回復してビジネス操作を迅速に復元できることです。

Azure ネイティブ保護機能の主な機能は次のとおりです。

  • Microsoft Defender for Cloud - ランサムウェア固有の検出機能を使用して、Azure ワークロードの脅威検出と対応 (XDR) を提供します
  • Azure Backup - 回復オプションを確保するために、論理的な削除と MFA 保護を備えた不変のバックアップを提供します
  • Azure Firewall Premium - ランサムウェア コマンド & コントロール (C&C) 通信を検出してブロックするための IDPS が含まれています
  • Microsoft Entra ID Protection - Azure リソースを対象とする資格情報の盗難と疑わしい認証パターンを検出します
  • Azure Policy - Azure リソース全体にセキュリティ構成とコンプライアンスを適用する
  • Microsoft Sentinel - ランサムウェア固有の検出分析を使用して SIEM/SOAR 機能を提供します

ランサムウェアの保護、検出、対応に役立つ Azure 機能の詳細については、保護、検出、対応に 役立つ Azure の機能とリソースに関するページを参照してください。

次の手順

すべての Microsoft プラットフォームにわたる包括的なランサムウェア保護ガイダンスについては、「 ランサムウェアや強要から組織を保護する」を参照してください

Azure 固有のランサムウェア保護に関する記事:

その他のリソース:

  • Last updated on