MKT International Inc., profile picture
Uploaded byMKT International Inc.
PDF, PPTX1,520 views

ランサムウェアをサーバー側から対策する

ランサムウェアというと最近出てきた単語のため、特別な脅威に思えてしまいますが、サーバー側での対策はバックアップ方式への工夫と、マルウェア対策とで防げるものになります。このセッションでは、Linux/Windowsサーバーを使っている場合のバックアップでの対処方式、マルウェア対策の効果的な方法について議論します。

Embed presentation

Download as PDF, PPTX
© SIOS Technology, Inc. All rights Reserved. ランサムウェアをサーバー側から対策する 1 2016/06/15 OSS/Security Evangelist 面 和毅
© SIOS Technology, Inc. All rights Reserved. Agenda 2 1. ランサムウェアのおさらい 2. ランサムウェアへの対策 1. やられないようにする 2. やられても良いようにする 3. まとめ
© SIOS Technology, Inc. All rights Reserved. 自己紹介 3  Linux/OSS歴18年  OSSのセキュリティにフォーカス  アクセス制御(SELinux, LIDS)  AntiVirus  SIEM  SIer, ベンダ, 顧客(管理者)の立場を経験
© SIOS Technology, Inc. All rights Reserved. 1.ランサムウェアのおさらい 4
© SIOS Technology, Inc. All rights Reserved. ランサムウェアとは 5 ランサムウェア 別名:身代金ウィルス,身代金ウイルス,身代金型ウィルス,身代金要求ウイルス 【英】ransomware ランサムウェアとは、マルウェア(悪意のあるソフトウェ ア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身 代金」(ransom)を要求するソフトウェアのことである。
© SIOS Technology, Inc. All rights Reserved. 結局ランサムウェアって何をやるの? ローカルHDDを 暗号化orファイル消去 繋がったUSBメモリを 暗号化orファイル消去 ネットワークマウントしている フォルダの暗号化orファイル消去 繋がっているありとあらゆるデバイス内のファイルを ・暗号化 -> 複合化でお金を取る ・ランダムに消していく -> 「今すぐお金を振り込みなさい!!」
© SIOS Technology, Inc. All rights Reserved. じゃあ、対処方法は?? まずは対処方法を整理してみましょう 動きだけ見ていると、やはり「ウィルス感染」->「暗号化」に置き換えた だけで、今までのウィルス感染対策と基本姿勢は同じ。 ランサムウェアに • やられないようにする • やられても良いようにする で考えてみましょう
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-1. やられないようにする 8
© SIOS Technology, Inc. All rights Reserved. まずはやられないようにする 1. AntiVirusソフトウェアを各端末にインストール • 既存のランサムウェアは各社のAntiVirusソフトで検知可能 • 「AntiVirusじゃ防げない!」というショッキングなトークに 騙されない 2. USBなど外部デバイスの禁止。少なくとも常時挿しておかない 3. 外部アクセスのWebブラウザもプラグインは最小にする 4. メーラーも設定を確認して、添付ファイルを開くときに気を付ける
© SIOS Technology, Inc. All rights Reserved. 何か参考になるものは? 結局、標的型攻撃の対策と同じ 年金機構の再発防止策(一部)が参考になる 「プラグイン」などの 拡張機能の使用の制限 メールの 添付ファイル扱い 埋め込みコンテンツの 取り込み設定制限 年金機構事件の問題への対応
© SIOS Technology, Inc. All rights Reserved. サーバ側で対策出来る? • AntiVirusを統合して、防御に漏れがないようにする • AntiVirus製品はヘテロな環境を(意図的に)作る TrendMicro製品 Sophos製品 製品を選ぶときは対応OSで選びましょう 最近はどのAntiVirusも同じようなものです
© SIOS Technology, Inc. All rights Reserved. 2016年4月時点での各社の検知率 12
© SIOS Technology, Inc. All rights Reserved. 的確なスキャン設計・設定 13 スキャン対象・対象外を明確にする • DBファイルとかISOファイルとかスキャン してませんか? • 圧縮ファイルのスキャンは注意が必要 • アーカイブファイルのスキャンは必要か?
© SIOS Technology, Inc. All rights Reserved. とは言っても • 結局、人間がやることには漏れはあり得る • 最新のランサムウェアだとAntiVirus対応に時間がかかる • 新しい攻撃方法が出てくるかもしれない 「やられても良いようにする」対策を考えておきましょう
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 15
© SIOS Technology, Inc. All rights Reserved. サーバ側で考えること 「やられても良いようにする」とは(以下、サーバ側視点) ファイルサーバ側 • ランサムウェアが変な行動を出来ないようにする • ファイルを改変(暗号化)されても元に戻せるようにする バックアップサーバ側 • 最悪の場合、バックアップから戻せるようにする
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 17 ファイルサーバ編
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側で考えること 「やられても良いようにする」ためには。。。。 まず、ランサムウェアがどう動くかを詳しく考察しよう! ただし、「サーバ側で対応する」のが大前提。
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 ランサムウェアとファイルサーバの動き ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ファイルサーバとしては当たり前の動作
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 じゃあどうするか? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ここを何とかしてみよう
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 ファイルが消されても良いようにするには? 復活させる方法があればいい ファイルサーバ側でゴミ箱(Recycle bin)を使う!!
© SIOS Technology, Inc. All rights Reserved. Linux+Sambaの場合 Samba3/4ならRecycle binの設定ができる ファイ共有セクションで「vfs objects = recycle」を 指定することで、ごみ箱機能を有効に。 [Share] comment = Public Stuff path = /Share/ browseable = yes writable = yes printable = no vfs objects = recycle guest ok = yes read only = no recycle:repository = .recycle recycle:keeptree = yes 実際の動きはデモで!!
© SIOS Technology, Inc. All rights Reserved. Windows Serverの場合 Windowsだと商用で「Undelete」がある
© SIOS Technology, Inc. All rights Reserved. Windows Serverの場合 その他、VSS(Volume Shadow-copy Service) を有効にしておくのがおすすめ 定期的なスナップショット - パフォーマンス劣化は小さい - ランサムウェアにやられても、 「直前にスナップショット取ってた 時点のファイル」に戻せる
© SIOS Technology, Inc. All rights Reserved. ゴミ箱のメリット・デメリット メリット • 暗号化ランサムウェアだけでなくファイル削除型にも効く • オペミスで削除したファイルでも復活できる • 直前の状態が入っているので、そこから復活すれば感染直前の 状態に復活できる • ゴミ箱もバックアップ対象にすれば直近まで戻せる デメリット • 容量が増える -> ストレージのコストとリスクの兼ね合い -> メンテナンスが必要になる(定期的にパージ) • 戻すときにサーバ側で対応が必要 -> ランサムウェア感染とか、どっちみち管理者に報告でしょ? 一昔前のNetWareの時は。。。。
© SIOS Technology, Inc. All rights Reserved. でもちょっと待った 削除じゃなくて「改変」されるとどうなる? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 改変 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除 改変要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 改変(write) こうなってくるとどうする?
© SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 27 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() サーバ側から見ると全く区別がつかない
© SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 28 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_MODIFY FAN_CLOSE_WRITE FAN_CLOSE_NOWRITE 書き込み完了時でしか フック出来ない ->書き込み前のバックアップが 取れない
© SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 29 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_OPEN 原理的に可能 枯れていない やはり「こまめにバックアップ」併用が今は確実
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 30 バックアップサーバ編
© SIOS Technology, Inc. All rights Reserved. バックアップサーバ側で考えること バックアップ側で対応するには 1. 複数のバックアップ 2. 日時ごとのバックアップの保管 3. バックアップ時以外は切り離す
© SIOS Technology, Inc. All rights Reserved. バックアップサーバ側で考えること 例えば商用のストレージ(EMCなど)だと ストレージ Shadow ボリューム Mirroring backup Monday backup Tuesday backup Wednesday D2D D2D D2D 普段はRead-Only
© SIOS Technology, Inc. All rights Reserved. 一般的な環境なら ストレージ Backup 1 Backup 2 Backup 3 D2D D2D D2D 時間が許容範囲ならバックアップを3回走らせる
© SIOS Technology, Inc. All rights Reserved. 取得時間が手短 ストレージ Backup 1 Backup 2 Backup 3 D2D D2D 取得したバックアップを他のボリュームにコピー D2D
© SIOS Technology, Inc. All rights Reserved. 容量は少なく限定的だが ストレージ Backup 1 Backup 2 D2D D2D ISOファイル作って焼いてしまう D2D 容量が限られるので 重要ファイルだけDVD
© SIOS Technology, Inc. All rights Reserved. RISK ストレージ Backup 1 Backup 2 Backup 3 D2D D2D バックアップの一つにMalwareが混入すると D2D バックアップのコピーで 拡散してしまう
© SIOS Technology, Inc. All rights Reserved. バックアップ時以外は切り離す 37 意外と忘れがち 通常は(サーバからは)マウント対象から外す マウントしなくてもバックアップ取れる方法を 1. rsync + ssh (お手軽+定番) 2. Bacula(製品版)、NetBackupなどの商用
© SIOS Technology, Inc. All rights Reserved. 3. まとめ 38
© SIOS Technology, Inc. All rights Reserved. 3. まとめ ランサムウェアをサーバ側で対策するには 1. 各端末は統合管理環境でAntiVirusソフトを運用 2. サーバはネットワークごみ箱などを使用 3. 3つ以上の物理的にわかれたメディアでバックアップ 4. 必要な時以外はバックアップは接続しない が基本!!
40

More Related Content

PDF
CaitSith 新しいルールベースのカーネル内アクセス制御
byToshiharu Harada, Ph.D
 
PPTX
VDI 環境下での IBM Notes の導入設定について
by健補 萩原
 
PDF
OpenStack & SELinux
byHiroki Ishikawa
 
PPT
P2Pシステム上での安定したサービス提供基盤musasabi
byKota Abe
 
PPTX
Isc2 japan chapter発足LT
byHaga Takeshi
 
PPTX
Azure Bastion の紹介
byMasakazu Kishima
 
PPTX
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
PDF
Alfresco勉強会#15 alfresco 4をインストールしてみよう!
byTasuku Otani
 
CaitSith 新しいルールベースのカーネル内アクセス制御
byToshiharu Harada, Ph.D
 
VDI 環境下での IBM Notes の導入設定について
by健補 萩原
 
OpenStack & SELinux
byHiroki Ishikawa
 
P2Pシステム上での安定したサービス提供基盤musasabi
byKota Abe
 
Isc2 japan chapter発足LT
byHaga Takeshi
 
Azure Bastion の紹介
byMasakazu Kishima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
byKota Kanbe
 
Alfresco勉強会#15 alfresco 4をインストールしてみよう!
byTasuku Otani
 

What's hot

PDF
A start point on a security study of a Raspberry pi version 0.4
byKiyoshi Ogawa
 
PDF
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
PDF
【SSS】ads-introduction2013
bysss-share
 
PPTX
侵入防御の誤検知を減らすためのDeepSecurity運用
bymorisshi
 
PDF
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
byInsight Technology, Inc.
 
PDF
VMware vSphereとプラットフォーム・セキュリティー
byNaruhide Tonesaku
 
PDF
【SSS】クラウド型セキュリティ・サービス
bysss-share
 
PPTX
Vuls×deep security
by一輝 長澤
 
PPTX
cybozu.comの仕組み
bycybozutw
 
PPT
資料
byTatsuya Ueda
 
PDF
クイズを支える技術2017
bySatoshi Hirata
 
A start point on a security study of a Raspberry pi version 0.4
byKiyoshi Ogawa
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
byTakayuki Ushida
 
【SSS】ads-introduction2013
bysss-share
 
侵入防御の誤検知を減らすためのDeepSecurity運用
bymorisshi
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
byInsight Technology, Inc.
 
VMware vSphereとプラットフォーム・セキュリティー
byNaruhide Tonesaku
 
【SSS】クラウド型セキュリティ・サービス
bysss-share
 
Vuls×deep security
by一輝 長澤
 
cybozu.comの仕組み
bycybozutw
 
資料
byTatsuya Ueda
 
クイズを支える技術2017
bySatoshi Hirata
 

Viewers also liked

PDF
ツールを用いた脆弱性リスクの管理・低減
byMKT International Inc.
 
PDF
meet.php #11 - Huston, we have an airbrake
byMax Małecki
 
PDF
LTO/オートローダー/仮想テープライブラリの基礎知識
byMKT International Inc.
 
PDF
神戸大学MBA修了生勉強会資料
byMKT International Inc.
 
PDF
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
byMKT International Inc.
 
PDF
Tornado en San Pedro, Misiones
byPatricia Bertolotti
 
ツールを用いた脆弱性リスクの管理・低減
byMKT International Inc.
 
meet.php #11 - Huston, we have an airbrake
byMax Małecki
 
LTO/オートローダー/仮想テープライブラリの基礎知識
byMKT International Inc.
 
神戸大学MBA修了生勉強会資料
byMKT International Inc.
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
byMKT International Inc.
 
Tornado en San Pedro, Misiones
byPatricia Bertolotti
 

Similar to ランサムウェアをサーバー側から対策する

PDF
2022.05.11_NAS安全運用前半.pdf
byssuser3440151
 
PDF
Squarantine 〜Kuroboxを使ったUSBメモリセキュリティソリューション〜
byYoshimasa Kawano
 
PPTX
Ransomware Prevention Best Practices
byTakeo Sakaguchi ,CISSP,CISA
 
PDF
Mcloudoc ransomware leaflet_jpn
bysang yoo
 
PDF
Blocky for Veeam(r) Whitepaper 202509.pdf
by株式会社クライム
 
PDF
LC2005 LT
byKunio Miyamoto, Ph.D.
 
PDF
[Hardening Designers Confernece 2025]ランサムウェアでの見えざるログ・見えるログ
bykataware
 
PDF
ファイルの隠し方
bymfumi
 
PDF
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
byShinichiro Kawano
 
PPTX
The vulnerabilities never bothered me anyway
byabend_cve_9999_0001
 
PPTX
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
byCODE BLUE
 
PDF
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
byオラクルエンジニア通信
 
PDF
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
byNoriaki Hayashi
 
PPTX
ストレージ層で行うランサムウェア対策_20210401
byKan Itani
 
PPTX
Treat stop preso
byMasayasu Narisawa
 
PPTX
Windows 10 IoT Coreの脅威分析と実施すべきセキュリティ対策 by 和栗直英 - CODE BLUE 2015
byCODE BLUE
 
PDF
2020 0727 f-secure night webinar #1 remote work
byShinichiro Kawano
 
PPTX
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
by株式会社クライム
 
PPT
使いこなせて安全なLinuxを目指して
byToshiharu Harada, Ph.D
 
PPTX
社内勉強会 20120518
byyoshinori matsumoto
 
2022.05.11_NAS安全運用前半.pdf
byssuser3440151
 
Squarantine 〜Kuroboxを使ったUSBメモリセキュリティソリューション〜
byYoshimasa Kawano
 
Ransomware Prevention Best Practices
byTakeo Sakaguchi ,CISSP,CISA
 
Mcloudoc ransomware leaflet_jpn
bysang yoo
 
Blocky for Veeam(r) Whitepaper 202509.pdf
by株式会社クライム
 
LC2005 LT
byKunio Miyamoto, Ph.D.
 
[Hardening Designers Confernece 2025]ランサムウェアでの見えざるログ・見えるログ
bykataware
 
ファイルの隠し方
bymfumi
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
byShinichiro Kawano
 
The vulnerabilities never bothered me anyway
byabend_cve_9999_0001
 
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
byCODE BLUE
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
byオラクルエンジニア通信
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
byNoriaki Hayashi
 
ストレージ層で行うランサムウェア対策_20210401
byKan Itani
 
Treat stop preso
byMasayasu Narisawa
 
Windows 10 IoT Coreの脅威分析と実施すべきセキュリティ対策 by 和栗直英 - CODE BLUE 2015
byCODE BLUE
 
2020 0727 f-secure night webinar #1 remote work
byShinichiro Kawano
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
by株式会社クライム
 
使いこなせて安全なLinuxを目指して
byToshiharu Harada, Ph.D
 
社内勉強会 20120518
byyoshinori matsumoto
 

More from MKT International Inc.

PDF
サーバーサイドにおけるOSSセキュリティ市場動向について
byMKT International Inc.
 
PDF
MySQLはじめの第一歩
byMKT International Inc.
 
PDF
自分にあった英語学習法を探してみよう!
byMKT International Inc.
 
PDF
求められているエンジニアのナレッジってなに?
byMKT International Inc.
 
PDF
求められているエンジニアのナレッジってなに?
byMKT International Inc.
 
PDF
ボイストレーニング入門
byMKT International Inc.
 
PDF
グローバル時代に求められるキャリアと生き方(有賀さん)
byMKT International Inc.
 
PDF
経済を理解する数字の見方、上司が見たい数字の見せ方
byMKT International Inc.
 
PDF
グローバル時代に求められるキャリアと生き方(全体資料)
byMKT International Inc.
 
PDF
グローバル時代に求められるキャリアと生き方(高岡さん)
byMKT International Inc.
 
PDF
パーソナルカラー入門
byMKT International Inc.
 
PDF
上司が見たい数字の見せ方
byMKT International Inc.
 
PDF
グローバル時代に求められるキャリアと生き方(梶山さん)
byMKT International Inc.
 
PDF
エンジニアのキャリアを考える
byMKT International Inc.
 
PDF
提案に役に立つ情報 (teianlab 勉強会)
byMKT International Inc.
 
PDF
[キャリア支援]失敗しない! 初めての起業のステップABC
byMKT International Inc.
 
PPTX
バックアップ勉強会資料: システムバックアップのすすめ
byMKT International Inc.
 
PDF
バックアップ勉強会#1 バックアップ基礎
byMKT International Inc.
 
PDF
MySQLコミュニティいろいろ
byMKT International Inc.
 
PPTX
OSS Market Momentum In Japan
byMKT International Inc.
 
サーバーサイドにおけるOSSセキュリティ市場動向について
byMKT International Inc.
 
MySQLはじめの第一歩
byMKT International Inc.
 
自分にあった英語学習法を探してみよう!
byMKT International Inc.
 
求められているエンジニアのナレッジってなに?
byMKT International Inc.
 
求められているエンジニアのナレッジってなに?
byMKT International Inc.
 
ボイストレーニング入門
byMKT International Inc.
 
グローバル時代に求められるキャリアと生き方(有賀さん)
byMKT International Inc.
 
経済を理解する数字の見方、上司が見たい数字の見せ方
byMKT International Inc.
 
グローバル時代に求められるキャリアと生き方(全体資料)
byMKT International Inc.
 
グローバル時代に求められるキャリアと生き方(高岡さん)
byMKT International Inc.
 
パーソナルカラー入門
byMKT International Inc.
 
上司が見たい数字の見せ方
byMKT International Inc.
 
グローバル時代に求められるキャリアと生き方(梶山さん)
byMKT International Inc.
 
エンジニアのキャリアを考える
byMKT International Inc.
 
提案に役に立つ情報 (teianlab 勉強会)
byMKT International Inc.
 
[キャリア支援]失敗しない! 初めての起業のステップABC
byMKT International Inc.
 
バックアップ勉強会資料: システムバックアップのすすめ
byMKT International Inc.
 
バックアップ勉強会#1 バックアップ基礎
byMKT International Inc.
 
MySQLコミュニティいろいろ
byMKT International Inc.
 
OSS Market Momentum In Japan
byMKT International Inc.
 

ランサムウェアをサーバー側から対策する

  • 1.
    © SIOS Technology,Inc. All rights Reserved. ランサムウェアをサーバー側から対策する 1 2016/06/15 OSS/Security Evangelist 面 和毅
  • 2.
    © SIOS Technology,Inc. All rights Reserved. Agenda 2 1. ランサムウェアのおさらい 2. ランサムウェアへの対策 1. やられないようにする 2. やられても良いようにする 3. まとめ
  • 3.
    © SIOS Technology,Inc. All rights Reserved. 自己紹介 3  Linux/OSS歴18年  OSSのセキュリティにフォーカス  アクセス制御(SELinux, LIDS)  AntiVirus  SIEM  SIer, ベンダ, 顧客(管理者)の立場を経験
  • 4.
    © SIOS Technology,Inc. All rights Reserved. 1.ランサムウェアのおさらい 4
  • 5.
    © SIOS Technology,Inc. All rights Reserved. ランサムウェアとは 5 ランサムウェア 別名:身代金ウィルス,身代金ウイルス,身代金型ウィルス,身代金要求ウイルス 【英】ransomware ランサムウェアとは、マルウェア(悪意のあるソフトウェ ア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身 代金」(ransom)を要求するソフトウェアのことである。
  • 6.
    © SIOS Technology,Inc. All rights Reserved. 結局ランサムウェアって何をやるの? ローカルHDDを 暗号化orファイル消去 繋がったUSBメモリを 暗号化orファイル消去 ネットワークマウントしている フォルダの暗号化orファイル消去 繋がっているありとあらゆるデバイス内のファイルを ・暗号化 -> 複合化でお金を取る ・ランダムに消していく -> 「今すぐお金を振り込みなさい!!」
  • 7.
    © SIOS Technology,Inc. All rights Reserved. じゃあ、対処方法は?? まずは対処方法を整理してみましょう 動きだけ見ていると、やはり「ウィルス感染」->「暗号化」に置き換えた だけで、今までのウィルス感染対策と基本姿勢は同じ。 ランサムウェアに • やられないようにする • やられても良いようにする で考えてみましょう
  • 8.
    © SIOS Technology,Inc. All rights Reserved. 2. ランサムウェアの対策 2-1. やられないようにする 8
  • 9.
    © SIOS Technology,Inc. All rights Reserved. まずはやられないようにする 1. AntiVirusソフトウェアを各端末にインストール • 既存のランサムウェアは各社のAntiVirusソフトで検知可能 • 「AntiVirusじゃ防げない!」というショッキングなトークに 騙されない 2. USBなど外部デバイスの禁止。少なくとも常時挿しておかない 3. 外部アクセスのWebブラウザもプラグインは最小にする 4. メーラーも設定を確認して、添付ファイルを開くときに気を付ける
  • 10.
    © SIOS Technology,Inc. All rights Reserved. 何か参考になるものは? 結局、標的型攻撃の対策と同じ 年金機構の再発防止策(一部)が参考になる 「プラグイン」などの 拡張機能の使用の制限 メールの 添付ファイル扱い 埋め込みコンテンツの 取り込み設定制限 年金機構事件の問題への対応
  • 11.
    © SIOS Technology,Inc. All rights Reserved. サーバ側で対策出来る? • AntiVirusを統合して、防御に漏れがないようにする • AntiVirus製品はヘテロな環境を(意図的に)作る TrendMicro製品 Sophos製品 製品を選ぶときは対応OSで選びましょう 最近はどのAntiVirusも同じようなものです
  • 12.
    © SIOS Technology,Inc. All rights Reserved. 2016年4月時点での各社の検知率 12
  • 13.
    © SIOS Technology,Inc. All rights Reserved. 的確なスキャン設計・設定 13 スキャン対象・対象外を明確にする • DBファイルとかISOファイルとかスキャン してませんか? • 圧縮ファイルのスキャンは注意が必要 • アーカイブファイルのスキャンは必要か?
  • 14.
    © SIOS Technology,Inc. All rights Reserved. とは言っても • 結局、人間がやることには漏れはあり得る • 最新のランサムウェアだとAntiVirus対応に時間がかかる • 新しい攻撃方法が出てくるかもしれない 「やられても良いようにする」対策を考えておきましょう
  • 15.
    © SIOS Technology,Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 15
  • 16.
    © SIOS Technology,Inc. All rights Reserved. サーバ側で考えること 「やられても良いようにする」とは(以下、サーバ側視点) ファイルサーバ側 • ランサムウェアが変な行動を出来ないようにする • ファイルを改変(暗号化)されても元に戻せるようにする バックアップサーバ側 • 最悪の場合、バックアップから戻せるようにする
  • 17.
    © SIOS Technology,Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 17 ファイルサーバ編
  • 18.
    © SIOS Technology,Inc. All rights Reserved. ファイルサーバ側で考えること 「やられても良いようにする」ためには。。。。 まず、ランサムウェアがどう動くかを詳しく考察しよう! ただし、「サーバ側で対応する」のが大前提。
  • 19.
    © SIOS Technology,Inc. All rights Reserved. ファイルサーバ側 ランサムウェアとファイルサーバの動き ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ファイルサーバとしては当たり前の動作
  • 20.
    © SIOS Technology,Inc. All rights Reserved. ファイルサーバ側 じゃあどうするか? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ここを何とかしてみよう
  • 21.
    © SIOS Technology,Inc. All rights Reserved. ファイルサーバ側 ファイルが消されても良いようにするには? 復活させる方法があればいい ファイルサーバ側でゴミ箱(Recycle bin)を使う!!
  • 22.
    © SIOS Technology,Inc. All rights Reserved. Linux+Sambaの場合 Samba3/4ならRecycle binの設定ができる ファイ共有セクションで「vfs objects = recycle」を 指定することで、ごみ箱機能を有効に。 [Share] comment = Public Stuff path = /Share/ browseable = yes writable = yes printable = no vfs objects = recycle guest ok = yes read only = no recycle:repository = .recycle recycle:keeptree = yes 実際の動きはデモで!!
  • 23.
    © SIOS Technology,Inc. All rights Reserved. Windows Serverの場合 Windowsだと商用で「Undelete」がある
  • 24.
    © SIOS Technology,Inc. All rights Reserved. Windows Serverの場合 その他、VSS(Volume Shadow-copy Service) を有効にしておくのがおすすめ 定期的なスナップショット - パフォーマンス劣化は小さい - ランサムウェアにやられても、 「直前にスナップショット取ってた 時点のファイル」に戻せる
  • 25.
    © SIOS Technology,Inc. All rights Reserved. ゴミ箱のメリット・デメリット メリット • 暗号化ランサムウェアだけでなくファイル削除型にも効く • オペミスで削除したファイルでも復活できる • 直前の状態が入っているので、そこから復活すれば感染直前の 状態に復活できる • ゴミ箱もバックアップ対象にすれば直近まで戻せる デメリット • 容量が増える -> ストレージのコストとリスクの兼ね合い -> メンテナンスが必要になる(定期的にパージ) • 戻すときにサーバ側で対応が必要 -> ランサムウェア感染とか、どっちみち管理者に報告でしょ? 一昔前のNetWareの時は。。。。
  • 26.
    © SIOS Technology,Inc. All rights Reserved. でもちょっと待った 削除じゃなくて「改変」されるとどうなる? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 改変 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除 改変要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 改変(write) こうなってくるとどうする?
  • 27.
    © SIOS Technology,Inc. All rights Reserved. サーバOS側から見ると 27 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() サーバ側から見ると全く区別がつかない
  • 28.
    © SIOS Technology,Inc. All rights Reserved. サーバOS側から見ると 28 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_MODIFY FAN_CLOSE_WRITE FAN_CLOSE_NOWRITE 書き込み完了時でしか フック出来ない ->書き込み前のバックアップが 取れない
  • 29.
    © SIOS Technology,Inc. All rights Reserved. サーバOS側から見ると 29 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_OPEN 原理的に可能 枯れていない やはり「こまめにバックアップ」併用が今は確実
  • 30.
    © SIOS Technology,Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 30 バックアップサーバ編
  • 31.
    © SIOS Technology,Inc. All rights Reserved. バックアップサーバ側で考えること バックアップ側で対応するには 1. 複数のバックアップ 2. 日時ごとのバックアップの保管 3. バックアップ時以外は切り離す
  • 32.
    © SIOS Technology,Inc. All rights Reserved. バックアップサーバ側で考えること 例えば商用のストレージ(EMCなど)だと ストレージ Shadow ボリューム Mirroring backup Monday backup Tuesday backup Wednesday D2D D2D D2D 普段はRead-Only
  • 33.
    © SIOS Technology,Inc. All rights Reserved. 一般的な環境なら ストレージ Backup 1 Backup 2 Backup 3 D2D D2D D2D 時間が許容範囲ならバックアップを3回走らせる
  • 34.
    © SIOS Technology,Inc. All rights Reserved. 取得時間が手短 ストレージ Backup 1 Backup 2 Backup 3 D2D D2D 取得したバックアップを他のボリュームにコピー D2D
  • 35.
    © SIOS Technology,Inc. All rights Reserved. 容量は少なく限定的だが ストレージ Backup 1 Backup 2 D2D D2D ISOファイル作って焼いてしまう D2D 容量が限られるので 重要ファイルだけDVD
  • 36.
    © SIOS Technology,Inc. All rights Reserved. RISK ストレージ Backup 1 Backup 2 Backup 3 D2D D2D バックアップの一つにMalwareが混入すると D2D バックアップのコピーで 拡散してしまう
  • 37.
    © SIOS Technology,Inc. All rights Reserved. バックアップ時以外は切り離す 37 意外と忘れがち 通常は(サーバからは)マウント対象から外す マウントしなくてもバックアップ取れる方法を 1. rsync + ssh (お手軽+定番) 2. Bacula(製品版)、NetBackupなどの商用
  • 38.
    © SIOS Technology,Inc. All rights Reserved. 3. まとめ 38
  • 39.
    © SIOS Technology,Inc. All rights Reserved. 3. まとめ ランサムウェアをサーバ側で対策するには 1. 各端末は統合管理環境でAntiVirusソフトを運用 2. サーバはネットワークごみ箱などを使用 3. 3つ以上の物理的にわかれたメディアでバックアップ 4. 必要な時以外はバックアップは接続しない が基本!!
  • 40.