Microsoft 365 でのマルウェアとランサムウェアの保護

マルウェアから顧客データを保護する

マルウェアは、ウイルス、スパイウェア、およびその他の悪意のあるソフトウェアで構成されます。 Microsoft 365 には、マルウェアがクライアントまたは Microsoft 365 サーバーによって Microsoft 365 に導入されるのを防ぐための保護メカニズムが含まれています。 マルウェア対策ソフトウェアの使用は、悪意のあるソフトウェアから Microsoft 365 資産を保護するための主要なメカニズムです。 マルウェア対策ソフトウェアは、コンピューター ウイルス、マルウェア、ルートキット、ワーム、その他の悪意のあるソフトウェアがサービス システムに導入されるのを検出して防止します。 マルウェア対策ソフトウェアは、悪意のあるソフトウェアに対する予防と探偵の制御の両方を提供します。

各マルウェア対策ソリューションは、ソフトウェアのバージョンと実行されている署名を追跡します。 ベンダーのウイルス定義サイトからの署名更新プログラムの自動ダウンロードとアプリケーションは、サービス チームごとに適切なマルウェア対策ツールによって一元的に管理されます。 次の機能は、各サービス チームの各エンドポイント上の適切なマルウェア対策ツールによって一元的に管理されます。

• 環境の自動スキャン
• ファイル システムの定期的なスキャン (少なくとも毎週)
• ダウンロード、開く、または実行されるファイルのリアルタイム スキャン
• ベンダーのウイルス定義サイトから少なくとも毎日署名更新プログラムを自動ダウンロードして適用する
• 検出されたマルウェアのアラート、クリーニング、軽減

マルウェア対策ツールはマルウェアを検出すると、マルウェアをブロックし、Microsoft 365 サービス チームの担当者、Microsoft 365 セキュリティ、またはデータセンターを運営する Microsoft organizationのセキュリティおよびコンプライアンス チームにアラートを生成します。 受信側の担当者がインシデント対応プロセスを開始します。 インシデントは追跡および解決され、事後分析が実行されます。

マルウェアに対するExchange Online Protection

Exchange Onlineのためのすべての電子メール メッセージは、ウイルスやその他のマルウェアのシステムに出入りするすべての電子メールと電子メールの添付ファイルをリアルタイムで検疫およびスキャンするExchange Online Protection (EOP) を介して移動します。 管理者は、フィルター処理テクノロジを設定または管理する必要はありません。既定では有効になっています。 ただし、管理者は Exchange 管理センターを使用して、会社固有のフィルターのカスタマイズを行うことができます。

EOP は、複数のマルウェア対策エンジンを使用して、既知のマルウェアすべてを捕捉するよう設計された多層的な保護を提供します。 サービスを介して転送されたメッセージは、マルウェア (ウイルスやスパイウェアを含む) をスキャンします。 マルウェアが検出された場合は、メッセージは削除されます。 感染したメッセージが削除され、配信されない場合、送信者または管理者に通知を送信することもできます。 感染した添付ファイルを、マルウェアが検出されたことを受信者に通知する既定またはカスタムのメッセージで置換することもできます。

次は、マルウェア対策保護を提供するのに役立ちます。

• マルウェアに対するレイヤード防御 - EOP で使用される複数のマルウェア対策スキャン エンジンは、既知と未知の両方の脅威から保護するのに役立ちます。 これらのエンジンには、強力な発見的検出機能が組み込まれており、マルウェアのアウトブレイクの初期段階であっても保護が可能です。 このマルチエンジン アプローチは、マルウェア対策エンジンを 1 つだけ使用するよりも多くの保護を提供することが示されています。
• リアルタイムの脅威対応 - 一部の大規模感染時に、マルウェア対策チームは、ウイルスやその他の形式のマルウェアに関する十分な情報を持ち、サービスで使用されるエンジンから定義を入手する前でも脅威を検出する高度なポリシー ルールを記述できる場合があります。 これらのルールは、グローバル ネットワークで 2 時間ごとに公開されるため、各組織はそれを使用して攻撃に対する保護層をさらに強化できます。
• マルウェア対策定義の迅速な展開 - マルウェア対策チームは、マルウェア対策エンジンを開発するパートナーとの緊密な関係を維持します。 その結果、サービスは、マルウェア定義が一般にリリースされる前に、その定義を受け取って統合し修正することができます。 多くの場合、これらのパートナーとの関係が、Microsoft 独自の優れた修正方法の開発につながっています。 サービスは、すべてのマルウェア対策エンジンの更新された定義を 1 時間ごとに確認します。

Microsoft Defender for Office 365

Microsoft Defender for Office 365は、マルウェアやウイルスなど、特定の種類の高度な脅威に対する追加の保護を提供する電子メール フィルタリング サービスです。 Exchange Online Protectionは現在、既知のマルウェアやウイルスに対して複数のエンジンを搭載した堅牢で階層化されたアンチウイルス保護を使用しています。 Microsoft Defender for Office 365は、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するためのゼロデイ保護を提供する、安全な添付ファイルと呼ばれる機能を通じてこの保護を拡張します。 既知のウイルス/マルウェアシグネチャを持たないすべてのメッセージと添付ファイルは、特殊なハイパーバイザー環境にルーティングされます。この環境では、さまざまな機械学習と分析手法を使用して悪意を検出する動作分析が実行されます。 不審な動作が検出されないと、メッセージが解放されてメールボックスに配信されます。

Exchange Online Protectionは、Microsoft 365 で転送中の各メッセージをスキャンし、配信保護の時間を提供し、メッセージ内の悪意のあるハイパーリンクをブロックします。 攻撃者は、メッセージの受信後に転送サービスによって安全でないサイトにリダイレクトされる、一見安全なリンクを持つ悪意のある URL を非表示にしようとする場合があります。 安全なリンクは、ユーザーがそのようなリンクを選択した場合にプロアクティブに保護します。 その保護は、リンクを選択するたびに保持され、適切なリンクにアクセスできる間、悪意のあるリンクは動的にブロックされます。

Microsoft Defender for Office 365には豊富なレポート機能と追跡機能も用意されているため、organizationの対象となるユーザーと、直面している攻撃のカテゴリに関する重要な分析情報を得ることができます。 レポートとメッセージ トレースを使用すると、不明なウイルスやマルウェアによってブロックされたメッセージを調査できますが、URL トレース機能を使用すると、クリックされたメッセージ内の個々の悪意のあるリンクを追跡できます。

Microsoft Defender for Office 365の詳細については、「Exchange Online ProtectionとMicrosoft Defender for Office 365」を参照してください。

ランサムウェアに対する SharePoint と OneDrive の保護

ランサムウェア攻撃には多くの形態がありますが、最も一般的な形式の 1 つは、悪意のある個人がユーザーの重要なファイルを暗号化し、暗号化解除するためのキーと引き換えに、お金や情報などのユーザーに何かを要求することです。 ランサムウェア攻撃は増加傾向にあります。特に、ユーザーのクラウド ストレージに格納されているファイルを暗号化する攻撃です。 ランサムウェアの詳細については、Microsoft Defender セキュリティ インテリジェンス サイトを参照してください。

バージョン管理は、SharePoint リストと SharePoint および OneDrive ライブラリを、これらの種類のランサムウェア攻撃の一部 (すべてではない) から保護するのに役立ちます。 OneDrive と SharePoint では、バージョン管理が既定で有効になっています。 バージョン管理は SharePoint サイト リストで有効になっているため、以前のバージョンを確認し、必要に応じて回復できます。 これにより、ランサムウェアによる暗号化を事前に行ったアイテムのバージョンを回復できます。 また、一部の組織では、法的な理由や監査目的で複数のバージョンのアイテムがリストに保持されます。

SharePoint と OneDrive のごみ箱

SharePoint 管理者は、SharePoint 管理センターを使用して、削除されたサイト コレクションを復元できます。 SharePoint ユーザーのゴミ箱には、削除されたコンテンツが保存されています。 必要であれば、ユーザーは削除された文書やリストを回復するためにごみ箱にアクセスすることができます。 ごみ箱内のアイテムは 93 日間保持されます。 以下のデータ型はごみ箱に入ります。

• サイト コレクション
• サイト
• リスト
• ライブラリ
• フォルダー
• リスト アイテム
• ドキュメント
• Web パーツ ページ

SharePoint Designerを使用して行われたサイトのカスタマイズは、ごみ箱によってキャプチャされません。 詳細については、「 サイト コレクションのごみ箱から削除済みアイテムを復元する」を参照してください。 「 削除されたサイト コレクションを復元する」も参照してください。

バージョン管理では、ファイルのコピー、暗号化、元のファイルの削除を行うランサムウェア攻撃から保護されません。 ただし、エンド ユーザーは、ランサムウェア攻撃が発生した後にごみ箱を使用して OneDrive ファイルを回復できます。

次のセクションでは、お客様のorganizationとその資産に対するサイバー攻撃のリスクを軽減するために Microsoft が使用する防御と制御について詳しく説明します。

Microsoft がランサムウェア攻撃によるリスクを軽減する方法

Microsoft は、organizationとその資産に対するランサムウェア攻撃のリスクを軽減するために使用する防御と制御を組み込まれています。 資産は、各ドメインが独自のリスク軽減策を持つドメインごとに編成できます。

ドメイン 1: テナント レベルのコントロール

最初のドメインは、organizationを構成するユーザーと、organizationによって所有および制御されるインフラストラクチャとサービスです。 Microsoft 365 の次の機能は、リスクを軽減し、このドメイン内の資産の侵害の成功から回復するために、既定でオンになっているか、構成できます。

Exchange Online

• 単一アイテムの回復とメールボックスの保持により、ユーザーは不注意または悪意のある早期削除時にメールボックス内のアイテムを回復できます。 お客様は、既定で 14 日以内に削除されたメール メッセージをロールバックでき、最大 30 日まで構成できます。

• Exchange Online サービス内のこれらのアイテム保持ポリシーの追加の顧客構成では、次のことができるようになります。

  • 適用する構成可能なリテンション期間 (1 年/10 年以上)
  • 適用する書き込み保護のコピー
  • 不変性を実現できるように、アイテム保持ポリシーをロックする機能

• Exchange Online Protectionは、受信した電子メールと添付ファイルを、システムの出入りをリアルタイムでスキャンします。 これは既定で有効になっており、フィルターのカスタマイズが使用できます。 ランサムウェアやその他の既知または疑わしいマルウェアを含むメッセージが削除されます。 これが発生したときに通知を受信するように管理者を構成できます。

SharePoint と OneDrive Protection

SharePoint と OneDrive Protection には、ランサムウェア攻撃から保護するのに役立つ機能が組み込まれています。

バージョン管理: バージョン管理では既定で 500 以上のバージョンのファイルが保持されるため、ランサムウェアがファイルを編集して暗号化する場合は、以前のバージョンのファイルを回復できます。

ごみ箱: ランサムウェアによってファイルの新しい暗号化されたコピーが作成され、古いファイルが削除された場合、お客様はごみ箱から復元するのに 93 日かかります。

保持保持ライブラリ: SharePoint サイトまたは OneDrive サイトに保存されているファイルは、保持設定を適用することで保持できます。 バージョンのドキュメントが保持設定の対象である場合、バージョンは保持保持ライブラリにコピーされ、別のアイテムとして存在します。 ユーザーが自分のファイルが侵害されたと思われる場合は、保持されているコピーを確認してファイルの変更を調査できます。 その後、ファイルの復元を使用して、過去 30 日以内にファイルを回復できます。

Teams

Teams チャットはExchange Onlineユーザー メールボックス内に格納され、ファイルは SharePoint または OneDrive のいずれかに格納されます。 Microsoft Teams データは、これらのサービスで使用できる制御と回復メカニズムによって保護されます。

ドメイン 2: サービス レベルのコントロール

2 番目のドメインは、Microsoft organizationを構成するユーザーと、ビジネスの組織機能を実行するために Microsoft が所有および制御する企業インフラストラクチャです。

企業資産をセキュリティで保護する Microsoft のアプローチはゼロ トラストであり、デジタル資産全体の防御を備えた独自の製品とサービスを使用して実装されています。 ゼロ トラストの原則の詳細については、「アーキテクチャゼロ トラスト」を参照してください。

Microsoft 365 の追加機能により、ドメイン 1 で使用できるリスク軽減策が拡張され、このドメイン内の資産をさらに保護できます。

SharePoint と OneDrive Protection

バージョン管理: ランサムウェアがファイルを所定の場所で暗号化した場合は、Microsoft が管理するバージョン履歴機能を使用して、ファイルを最初のファイル作成日まで回復できます。

ごみ箱: ランサムウェアによってファイルの新しい暗号化されたコピーが作成され、古いファイルが削除された場合、お客様はごみ箱から復元するのに 93 日かかります。 93 日後には、Microsoft がデータを回復できる 14 日間の期間があります。 このウィンドウの後、データは完全に削除されます。

Teams

ドメイン 1 で説明されている Teams のリスク軽減策は、ドメイン 2 にも適用されます。

ドメイン 3: 開発者 & サービス インフラストラクチャ

3 番目のドメインは、Microsoft 365 サービスを開発して運用するユーザー、サービスを提供するコード、インフラストラクチャ、データのストレージと処理です。

Microsoft 365 プラットフォームをセキュリティで保護し、このドメインのリスクを軽減する Microsoft の投資は、次の領域に焦点を当てています。

• サービスのセキュリティ態勢の継続的な評価と検証
• サービスを侵害から保護するツールとアーキテクチャの構築
• 攻撃が発生した場合に脅威を検出して対応する機能を構築する

セキュリティ体制の継続的な評価と検証

• Microsoft は、 最小特権の原則を使用して、Microsoft 365 サービスを開発および運用するユーザーに関連するリスクを軽減します。 つまり、リソースへのアクセスとアクセス許可は、必要なタスクを実行するために必要なもののみに制限されます。
  • Just-In-Time (JIT)、Just-Enough-Access (JEA) モデルは、Microsoft エンジニアに一時的な特権を提供するために使用されます。
  • エンジニアは、昇格された特権を取得するために、特定のタスクの要求を送信する必要があります。
  • 要求は Lockbox を介して管理されます。これは、Azure ロールベースのアクセス制御 (RBAC) を使用して、エンジニアが行うことができる JIT 昇格要求の種類を制限します。
• 上記に加えて、すべての Microsoft 候補者は、Microsoft での雇用を開始する前に事前にスクリーニングされます。 米国で Microsoft オンライン サービスを管理する従業員は、オンライン サービス システムにアクセスするための前提条件として Microsoft Cloud Background Check を受ける必要があります。
• Microsoft のすべての従業員は、基本的なセキュリティ意識のトレーニングとビジネス行動基準のトレーニングを完了する必要があります。

サービスを保護するツールとアーキテクチャ

• Microsoft のセキュリティ開発ライフサイクル (SDL) では、アプリケーションのセキュリティを向上させ、脆弱性を軽減するためのセキュリティで保護されたソフトウェアの開発に重点を置いています。 詳細については、「 セキュリティとセキュリティの開発と運用の概要」を参照してください。
• Microsoft 365 では、サービス インフラストラクチャのさまざまな部分間の通信を、運用に必要なもののみに制限します。
• ネットワーク トラフィックは、ネットワーク攻撃の検出、防止、軽減に役立つ境界ポイントの追加のネットワーク ファイアウォールを使用してセキュリティで保護されます。
• Microsoft 365 サービスは、お客様が明示的に要求および承認しない限り、エンジニアが顧客データへのアクセスを必要とせずに動作するように設計されています。 詳細については、「 Microsoft が顧客データを収集して処理する方法」を参照してください。

検出と応答の機能

• Microsoft 365 は、継続的なシステムのセキュリティ モニタリングを行うことで、Microsoft 365 サービスへの脅威を検出し、対応しています。
• 一元的なログ記録では、セキュリティ インシデントを示す可能性があるアクティビティのログ イベントが収集および分析されます。 ログ データは、アラート システムにアップロードされると分析され、ほぼリアルタイムでアラートが生成されます。
• クラウドベースのツールを使用すると、検出された脅威に迅速に対応できます。 これらのツールを使用すると、自動的にトリガーされるアクションを使用して修復が有効になります。
• 自動修復が不可能な場合、アラートは、検出された脅威を軽減するためにリアルタイムで動作できるようにする一連のツールを備えた適切なオンコール エンジニアに送信されます。

ランサムウェア攻撃から回復する

Microsoft 365 でのランサムウェア攻撃から回復する手順については、「Microsoft 365 でのランサムウェア攻撃からの回復」を参照してください。

その他のランサムウェア リソース

Microsoft からの重要な情報

• ランサムウェアの脅威の増大、2021 年 7月 20 日付け Microsoft On the Issues のブログ投稿
• 人が操作するランサムウェア
• ランサムウェアや強要から迅速に保護する
• 最新の Microsoft セキュリティ インテリジェンス レポート( 22-24 ページを参照してください)
• ランサムウェア: Microsoft Defender ポータルの脅威分析ノードにある広範かつ継続的な脅威レポート (これらのライセンス要件を参照)

Microsoft 365

• Microsoft 365 テナントにランサムウェア保護を展開する
• ランサムウェア攻撃から回復する
• ランサムウェアから Windows 10 PC を保護する
• SharePoint でのランサムウェアの処理

Microsoft Defender XDR

• 高度な検索でランサムウェアを検索する

Microsoft Azure

• ランサムウェア攻撃に対する Azure 防御
• ランサムウェアから保護するためのバックアップと復元の計画
• Microsoft Azure バックアップを使用してランサムウェアから保護する (26 分のビデオ)
• 体系的な ID 侵害からの回復
• Microsoft Sentinel での高度な多段階攻撃検出
• Microsoft Sentinel でのランサムウェアのフュージョン検出
• Azure でのランサムウェア保護
• ランサムウェア攻撃の準備
• ランサムウェア攻撃を検出して対応する
• Azure の機能 & リソースを保護、検出、応答するのに役立ちます
• ランサムウェアから保護するための Azure のバックアップと復元の計画

Microsoft Defender for Cloud Apps

• Defender for Cloud Apps で異常検出ポリシーを作成する

Microsoft セキュリティ チームのブログ投稿

• ランサムウェアを防止して回復するための 3 つの手順 (2021 年 9 月)

• サイバーセキュリティ リスクを理解することで回復力を高める パート 4—現在の脅威をナビゲートする(2021 年 5 月)

  「ランサムウェア」セクションを参照 してください。

• 人が操作するランサムウェア攻撃: 予防可能な災害 (2020 年 3 月)

  実際の攻撃の攻撃チェーン分析が含まれます。

• ランサムウェアの応答 - 支払うか支払わないか。 (2019 年 12 月)

• Norsk Hydro のランサムウェア攻撃に対する透明性のある対応 (2019 年 12 月)