マルウェアとランサムウェアのMicrosoft 365

マルウェアから顧客データを保護する

マルウェアは、ウイルス、スパイウェア、その他の悪意のあるソフトウェアで構成されます。 Microsoft 365には、マルウェアがクライアントまたはサーバーによってMicrosoft 365に導入されるのを防ぐためのMicrosoft 365があります。 マルウェア対策ソフトウェアの使用は、悪意のあるソフトウェアからMicrosoft 365保護するための主要なメカニズムです。 マルウェア対策ソフトウェアは、コンピューター ウイルス、マルウェア、ルートキット、ワーム、その他の悪意のあるソフトウェアがサービス システムに導入されるのを検出し、防止します。 マルウェア対策ソフトウェアは、悪意のあるソフトウェアに対する予防と検出の両方の制御を提供します。

マルウェア対策ソリューションは、ソフトウェアのバージョンと実行されている署名を追跡します。 ベンダーのウイルス定義サイトから少なくとも毎日署名更新プログラムの自動ダウンロードとアプリケーションは、サービス チームごとに適切なマルウェア対策ツールによって集中管理されます。 次の機能は、各サービス チームのエンドポイントごとに適切なマルウェア対策ツールによって一中心に管理されます。

  • 環境の自動スキャン
  • ファイル システムの定期的なスキャン (少なくとも毎週)
  • ファイルがダウンロード、開く、または実行されるファイルのリアルタイム スキャン
  • ベンダーのウイルス定義サイトから少なくとも毎日署名更新プログラムを自動ダウンロードして適用する
  • 検出されたマルウェアのアラート、クリーニング、軽減

マルウェア対策ツールがマルウェアを検出すると、マルウェアをブロックし、Microsoft 365 サービス チームの担当者、Microsoft 365 セキュリティ、および/またはデータセンターを運用する Microsoft 組織のセキュリティおよびコンプライアンス チームに警告を生成します。 受信担当者がインシデント対応プロセスを開始します。 インシデントは追跡および解決され、事後分析が実行されます。

Exchange Online Protectionに対する対策

Exchange Onlineのすべての電子メール メッセージは Exchange Online Protection (EOP) を通過します。ウイルスやその他のマルウェアのためにシステムに入り、システムを離れる際に、すべての電子メールおよび電子メールの添付ファイルをリアルタイムで検疫およびスキャンします。 管理者は、フィルター 処理テクノロジをセットアップまたは保守する必要は一方ではありません。これらは既定で有効になっています。 ただし、管理者は、管理センターの管理センターを使用して、会社固有のExchangeできます。

EOP は、複数のマルウェア対策エンジンを使用して、既知のマルウェアすべてを捕捉するよう設計された多層的な保護を提供します。 サービスを介して転送されたメッセージは、マルウェア (ウイルスやスパイウェアを含む) をスキャンします。 マルウェアが検出された場合は、メッセージは削除されます。 感染したメッセージが削除され、配信されない場合、送信者または管理者に通知を送信することもできます。 感染した添付ファイルを、マルウェアが検出されたことを受信者に通知する既定またはカスタムのメッセージで置換することもできます。

マルウェア対策の保護を提供するには、次の情報を参照してください。

  • マルウェアに対する レイヤード防御 - EOP で使用される複数のマルウェア対策スキャン エンジンは、既知の脅威と未知の脅威の両方から保護するのに役立ちます。 これらのエンジンには、強力な発見的検出機能が組み込まれており、マルウェアのアウトブレイクの初期段階であっても保護が可能です。 このマルチエンジン アプローチが、1 種類のマルウェア対策エンジンを使用するよりはるかに強力な保護を提供することは明らかです。
  • リアルタイム の脅威対応 - 一部の大規模感染時に、マルウェア対策チームは、サービスが使用するエンジンから定義を利用できる前に、脅威を検出する高度なポリシー ルールを記述するために、ウイルスや他の形式のマルウェアに関する十分な情報を持っている可能性があります。 これらのルールは、グローバル ネットワークで 2 時間ごとに公開されるため、各組織はそれを使用して攻撃に対する保護層をさらに強化できます。
  • 高速マルウェア対策定義の展開 - マルウェア対策チームは、マルウェア対策エンジンを開発するパートナーとの密接な関係を維持します。 その結果、サービスは、マルウェア定義が一般にリリースされる前に、その定義を受け取って統合し修正することができます。 多くの場合、これらのパートナーとの関係が、Microsoft 独自の優れた修正方法の開発につながっています。 サービスは、すべてのマルウェア対策エンジンの更新された定義を 1 時間ごとに確認します。

Microsoft Defender for Office 365

Microsoft Defender for Office 365は、マルウェアやウイルスなど、特定の種類の高度な脅威に対する追加の保護を提供する電子メール フィルター サービスです。 Exchange Online Protectionは現在、既知のマルウェアやウイルスに対して複数のエンジンを搭載した堅牢で層的なウイルス対策保護を使用しています。 Microsoft Defender for Office 365 では、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するためのゼロデイ保護を強化する セーフ Attachments と呼ばれる機能を使用して、この保護を拡張します。 既知のウイルス/マルウェア署名を持っていないすべてのメッセージと添付ファイルは、特別なハイパーバイザー環境にルーティングされ、さまざまな機械学習および分析手法を使用して悪意のある意図を検出するために動作分析が実行されます。 不審な動作が検出されないと、メッセージが解放されてメールボックスに配信されます。

Exchange Online Protectionは、メッセージ内の転送中の各メッセージMicrosoft 365スキャンし、配信保護の時間を提供し、メッセージ内の悪意のあるハイパーリンクをブロックします。 攻撃者は、メッセージを受信した後、転送サービスによって安全でないサイトにリダイレクトされる一見安全でないリンクを持つ悪意のある URL を非表示にしようとする場合があります。 セーフリンクは、ユーザーがそのようなリンクをクリックした場合に、積極的にユーザーを保護します。 この保護は、リンクをクリックする度に維持され、悪意のあるリンクは動的にブロックされ、良好なリンクにアクセスできます。

Microsoft Defender for Office 365 には、豊富なレポート機能と追跡機能も提供されています。そのため、組織でターゲットにされているユーザーと、直面している攻撃のカテゴリに関する重要な洞察を得る必要があります。 レポートとメッセージ のトレースを使用すると、不明なウイルスやマルウェアによってブロックされたメッセージを調査することができますが、URL トレース機能を使用すると、クリックされたメッセージ内の個々の悪意のあるリンクを追跡できます。

Microsoft Defender for Office 365の詳細については、「Exchange Online Protection」および「Microsoft Defender for Office 365」を参照してください

SharePointランサムウェアに対するオンラインOneDrive for Business保護

ランサムウェア攻撃には多くの形式がありますが、最も一般的な形式の 1 つは、悪意のある個人がユーザーの重要なファイルを暗号化し、暗号化解除のキーと引き換えに、お金や情報などの何かをユーザーに要求する場合です。 ランサムウェア攻撃は、特にユーザーのクラウド ストレージに格納されているファイルを暗号化する攻撃が増加しています。 ランサムウェアの詳細については 、「Microsoft Defender Security Intelligence site」を参照 してください。

バージョン管理は、SharePointオンライン リストと SharePoint OneDrive for Business ライブラリを、これらの種類のランサムウェア攻撃の一部 (すべてではない) から保護するのに役立ちます。 バージョン管理は、[オンライン] および [オンライン] OneDrive for Business既定SharePoint有効になっています。 バージョン管理はオンライン サイト リストSharePoint有効になっているので、以前のバージョンを確認し、必要に応じて回復できます。 これにより、ランサムウェアによる暗号化を事前に行うアイテムのバージョンを回復できます。 また、一部の組織では、法的な理由や監査の目的で、リスト内のアイテムの複数のバージョンを保持しています。

SharePointオンラインおよびOneDrive for Businessごみ箱

SharePointオンライン管理者は、オンライン管理センターから削除されたサイト コレクションSharePoint復元できます。 SharePointオンライン ユーザーには、削除されたコンテンツが格納されるごみ箱があります。 必要であれば、ユーザーは削除された文書やリストを回復するためにごみ箱にアクセスすることができます。 ごみ箱内のアイテムは 93 日間保持されます。 以下のデータ型はごみ箱に入ります。

  • サイト コレクション
  • サイト
  • リスト
  • ライブラリ
  • フォルダー
  • リスト アイテム
  • ドキュメント
  • Web パーツ ページ

SharePoint Designer によって行われるサイトのカスタマイズはごみ箱には入りません。 詳細については、「削除済み アイテムをサイト コレクションのごみ箱から復元する」を参照してください。 「削除された サイト コレクションを復元する」も参照してください

バージョン管理は、ファイルをコピーして暗号化し、元のファイルを削除するランサムウェア攻撃から保護しません。 ただし、エンド ユーザーはごみ箱を利用して、ランサムウェア攻撃OneDrive for Businessファイルを復元できます。

次のセクションでは、組織とその資産に対するサイバー攻撃のリスクを軽減するために Microsoft が使用する防御と制御について詳しく説明します。

ランサムウェア攻撃によるリスクを軽減する方法

Microsoft は、組織とその資産に対するランサムウェア攻撃のリスクを軽減するために使用する防御と制御を組み込まれています。 アセットはドメインごとに整理され、各ドメインには独自のリスク軽減策が設定されています。

ドメイン 1: テナント レベルのコントロール

最初のドメインは、組織を構成するユーザーと、組織が所有および制御するインフラストラクチャとサービスです。 このドメインのMicrosoft 365のリスクを軽減し、このドメイン内の資産の正常な侵害から回復するために、既定でオンにするか、構成できます。

Exchange Online

  • 単一アイテムの回復とメールボックスの保持により、ユーザーは不注意または悪意のある早期削除時にメールボックス内のアイテムを回復できます。 お客様は、既定で 14 日以内に削除されたメール メッセージをロールバックできます。最大 30 日間の構成が可能です。

  • サービス内のこれらの保持ポリシーの追加の顧客構成では、Exchange Onlineを許可します。

    • 適用する構成可能な保持 (1 年/10 年以上)
    • 適用する書き込み保護のコピー
    • 保持ポリシーをロックして、変更が行えなか
  • Exchange Online Protectionシステムの入力と終了の両方で、受信メールと添付ファイルをリアルタイムでスキャンします。 これは既定で有効にされ、フィルター処理のカスタマイズが利用できます。 ランサムウェアまたは他の既知または疑わしいマルウェアを含むメッセージが削除されます。 このような場合に通知を受け取る管理者を構成できます。

SharePointオンラインおよびOneDrive for Business保護

SharePointオンラインおよびOneDrive for Business保護には、ランサムウェア攻撃から保護する機能が組み込みされています。

バージョン 管理 : バージョン管理では、既定で少なくとも 500 バージョンのファイルが保持され、ランサムウェアがファイルを編集して暗号化した場合、以前のバージョンのファイルを復元できます。

ごみ箱: ランサムウェアがファイルの新しい暗号化されたコピーを作成し、古いファイルを削除した場合、顧客はごみ箱からファイルを復元するために 93 日間を持っています。

保持ライブラリ: 保持設定を適用することで、SharePointまたはOneDriveサイトに保存されるファイルを保持できます。 バージョンを含むドキュメントが保持設定の対象となる場合、バージョンは保持ライブラリにコピーされ、別のアイテムとして存在します。 ユーザーがファイルが侵害されたと疑われる場合は、保持されているコピーを確認してファイルの変更を調査できます。 その後、ファイルの復元を使用して、過去 30 日以内にファイルを回復できます。

Teams

Teamsチャットはユーザー のメールボックスExchange Onlineに格納され、ファイルはオンライン または SharePointにOneDrive for Business。 Microsoft Teamsは、これらのサービスで使用できるコントロールと回復メカニズムによって保護されます。

ドメイン 2: サービス レベルの制御

2 つ目のドメインは、Microsoft 組織を構成するユーザーと、ビジネスの組織機能を実行するために Microsoft が所有および制御する企業インフラストラクチャです。

Microsoft の企業財産の保護に対するアプローチはゼロ トラストであり、デジタル 資産全体で防御を行う独自の製品とサービスを使用して実装されています。 ゼロ信頼の原則の詳細については、「ゼロ信頼アーキテクチャ」 を参照してください

このドメインのMicrosoft 365、ドメイン 1 で使用できるリスク軽減策を拡張して、このドメインの資産をさらに保護します。

SharePointオンラインおよびOneDrive for Business保護

バージョン管理: ランサムウェアがファイルを暗号化した場合、編集として、Microsoft が管理するバージョン履歴機能を使用して、ファイルを最初のファイル作成日まで復元できます。

ごみ箱: ランサムウェアがファイルの新しい暗号化されたコピーを作成し、古いファイルを削除した場合、顧客はごみ箱から復元するために 93 日間を持っています。 93 日後、Microsoft がデータを回復できる 14 日間のウィンドウがあります。 このウィンドウの後、データは完全に削除されます。

Exchange Online

データベース可用性グループ (DAG) は、データベース内のメールボックス データの破損に対するExchange Online。 Exchange Onlineデータベース可用性グループが 4 つ、アクティブなグループが 4 つ、トランザクション ログの遅延が 14 日遅れているグループが 1 つ含まれます。

ランサムウェア攻撃がメール トランザクションのアクティブ コピーをホストするメールボックス サーバーに影響を与える場合は、別のアクティブな DAG へのフェールオーバーが行い、顧客に対して透過的になります。 アクティブなデータベース内のメール トランザクションの 3 つのコピーはすべて、時間差 DAG に戻るランサムウェア攻撃の影響を受ける必要があります。 障害の分離メカニズムは、ランサムウェア攻撃の爆発半径を減らします。

Teams: ドメイン 1 で説明されているTeamsリスク軽減策は、ドメイン 2 にも適用されます。

ドメイン 3: 開発者&サービス インフラストラクチャ

3 番目のドメインは、Microsoft 365 サービスを提供する Microsoft 365 サービス、コード、インフラストラクチャ、およびデータのストレージと処理を開発および運用するユーザーです。

Microsoft の投資は、Microsoft 365プラットフォームを保護し、このドメインのリスクを軽減するために、次の分野に重点を置いて行います。

  • サービスのセキュリティ態勢の継続的な評価と検証
  • サービスを侵害から保護するツールとアーキテクチャの構築
  • 攻撃が発生した場合に脅威を検出して対応する機能を構築する

セキュリティ態勢の継続的な評価と検証

  • Microsoft は、最小特権の原則を使用して、Microsoft 365 サービスを開発および運用するユーザーに関連するリスク を軽減します。 つまり、リソースへのアクセスとアクセス許可は、必要なタスクを実行するために必要なアクセス許可にのみ制限されます。
    • Just-In-Time (JIT) の Just-Enough-Access (JEA) モデルを使用して、Microsoft エンジニアに一時的な特権を提供します。
    • エンジニアは、管理者特権を取得するために特定のタスクの要求を提出する必要があります。
    • 要求は Lockbox を介して管理され、Azure の役割ベースのアクセス制御 (RBAC) を使用して、エンジニアが行う JIT 昇格要求の種類を制限します。
  • 上記に加えて、すべての Microsoft 候補者は、Microsoft で雇用を開始する前に事前に確認されます。 米国で Microsoft オンライン サービスを維持している従業員は、オンライン サービス システムへのアクセスの前提条件として Microsoft Cloud Background Check を受ける必要があります。
  • Microsoft のすべての従業員は、Standards of Business Conduct トレーニングと共に基本的なセキュリティ認識トレーニングを完了する必要があります。

サービスを保護するツールとアーキテクチャ

  • Microsoft のセキュリティ開発ライフサイクル (SDL) は、アプリケーションのセキュリティを向上し、脆弱性を軽減するための安全なソフトウェアの開発に重点を当てしています。 詳細については、「セキュリティと セキュリティの開発と運用の概要」を参照してください
  • Microsoft 365インフラストラクチャの異なる部分間の通信を、運用に必要な情報にのみ制限します。
  • ネットワーク トラフィックは、ネットワーク攻撃の検出、防止、軽減に役立つ境界ポイントで追加のネットワーク ファイアウォールを使用してセキュリティ保護されます。
  • Microsoft 365サービスは、顧客が明示的に要求および承認しない限り、エンジニアが顧客データへのアクセスを必要とせずに運用するために設計されています。 詳細については、「Microsoft が顧客 データを収集および処理する方法」を参照してください

検出と応答の機能

  • Microsoft 365 は、継続的なシステムのセキュリティ モニタリングを行うことで、Microsoft 365 サービスへの脅威を検出し、対応しています。
  • 集中ログは、セキュリティ インシデントを示す可能性があるアクティビティのログ イベントを収集および分析します。 ログ データは、アラート システムにアップロードされ、ほぼリアルタイムでアラートが生成されると分析されます。
  • クラウドベースのツールを使用すると、検出された脅威に迅速に対応できます。 これらのツールは、自動的にトリガーされるアクションを使用して修復を有効にします。
  • 自動修復ができない場合、アラートは適切なオンコール エンジニアに送信され、検出された脅威を軽減するためにリアルタイムで行動できる一連のツールが装備されています。

ランサムウェア攻撃から回復する

ランサムウェア攻撃から回復する手順については、「Microsoft 365でランサムウェア攻撃から回復する」を参照Microsoft 365。

その他のランサムウェア リソース

Microsoft からの重要な情報:

Microsoft 365:

Microsoft 365 Defender:

Microsoft Azure:

Microsoft Cloud App Security:

Microsoft Security チームのブログ投稿: