SlideShare a Scribd company logo

ランサムウェアをサーバー側から対策する

MKT International Inc.
MKT International Inc.

ランサムウェアというと最近出てきた単語のため、特別な脅威に思えてしまいますが、サーバー側での対策はバックアップ方式への工夫と、マルウェア対策とで防げるものになります。このセッションでは、Linux/Windowsサーバーを使っている場合のバックアップでの対処方式、マルウェア対策の効果的な方法について議論します。

1 of 40
Download to read offline
© SIOS Technology, Inc. All rights Reserved. ランサムウェアをサーバー側から対策する 1 2016/06/15 OSS/Security Evangelist 面 和毅
© SIOS Technology, Inc. All rights Reserved. Agenda 2 1. ランサムウェアのおさらい 2. ランサムウェアへの対策 1. やられないようにする 2. やられても良いようにする 3. まとめ
© SIOS Technology, Inc. All rights Reserved. 自己紹介 3  Linux/OSS歴18年  OSSのセキュリティにフォーカス  アクセス制御(SELinux, LIDS)  AntiVirus  SIEM  SIer, ベンダ, 顧客(管理者)の立場を経験
© SIOS Technology, Inc. All rights Reserved. 1.ランサムウェアのおさらい 4
© SIOS Technology, Inc. All rights Reserved. ランサムウェアとは 5 ランサムウェア 別名:身代金ウィルス,身代金ウイルス,身代金型ウィルス,身代金要求ウイルス 【英】ransomware ランサムウェアとは、マルウェア(悪意のあるソフトウェ ア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身 代金」(ransom)を要求するソフトウェアのことである。
© SIOS Technology, Inc. All rights Reserved. 結局ランサムウェアって何をやるの? ローカルHDDを 暗号化orファイル消去 繋がったUSBメモリを 暗号化orファイル消去 ネットワークマウントしている フォルダの暗号化orファイル消去 繋がっているありとあらゆるデバイス内のファイルを ・暗号化 -> 複合化でお金を取る ・ランダムに消していく -> 「今すぐお金を振り込みなさい!!」
© SIOS Technology, Inc. All rights Reserved. じゃあ、対処方法は?? まずは対処方法を整理してみましょう 動きだけ見ていると、やはり「ウィルス感染」->「暗号化」に置き換えた だけで、今までのウィルス感染対策と基本姿勢は同じ。 ランサムウェアに • やられないようにする • やられても良いようにする で考えてみましょう
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-1. やられないようにする 8
© SIOS Technology, Inc. All rights Reserved. まずはやられないようにする 1. AntiVirusソフトウェアを各端末にインストール • 既存のランサムウェアは各社のAntiVirusソフトで検知可能 • 「AntiVirusじゃ防げない!」というショッキングなトークに 騙されない 2. USBなど外部デバイスの禁止。少なくとも常時挿しておかない 3. 外部アクセスのWebブラウザもプラグインは最小にする 4. メーラーも設定を確認して、添付ファイルを開くときに気を付ける
© SIOS Technology, Inc. All rights Reserved. 何か参考になるものは? 結局、標的型攻撃の対策と同じ 年金機構の再発防止策(一部)が参考になる 「プラグイン」などの 拡張機能の使用の制限 メールの 添付ファイル扱い 埋め込みコンテンツの 取り込み設定制限 年金機構事件の問題への対応
© SIOS Technology, Inc. All rights Reserved. サーバ側で対策出来る? • AntiVirusを統合して、防御に漏れがないようにする • AntiVirus製品はヘテロな環境を(意図的に)作る TrendMicro製品 Sophos製品 製品を選ぶときは対応OSで選びましょう 最近はどのAntiVirusも同じようなものです
© SIOS Technology, Inc. All rights Reserved. 2016年4月時点での各社の検知率 12
© SIOS Technology, Inc. All rights Reserved. 的確なスキャン設計・設定 13 スキャン対象・対象外を明確にする • DBファイルとかISOファイルとかスキャン してませんか? • 圧縮ファイルのスキャンは注意が必要 • アーカイブファイルのスキャンは必要か?
© SIOS Technology, Inc. All rights Reserved. とは言っても • 結局、人間がやることには漏れはあり得る • 最新のランサムウェアだとAntiVirus対応に時間がかかる • 新しい攻撃方法が出てくるかもしれない 「やられても良いようにする」対策を考えておきましょう
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 15
© SIOS Technology, Inc. All rights Reserved. サーバ側で考えること 「やられても良いようにする」とは(以下、サーバ側視点) ファイルサーバ側 • ランサムウェアが変な行動を出来ないようにする • ファイルを改変(暗号化)されても元に戻せるようにする バックアップサーバ側 • 最悪の場合、バックアップから戻せるようにする
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 17 ファイルサーバ編
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側で考えること 「やられても良いようにする」ためには。。。。 まず、ランサムウェアがどう動くかを詳しく考察しよう! ただし、「サーバ側で対応する」のが大前提。
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 ランサムウェアとファイルサーバの動き ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ファイルサーバとしては当たり前の動作
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 じゃあどうするか? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ここを何とかしてみよう
© SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 ファイルが消されても良いようにするには? 復活させる方法があればいい ファイルサーバ側でゴミ箱(Recycle bin)を使う!!
© SIOS Technology, Inc. All rights Reserved. Linux+Sambaの場合 Samba3/4ならRecycle binの設定ができる ファイ共有セクションで「vfs objects = recycle」を 指定することで、ごみ箱機能を有効に。 [Share] comment = Public Stuff path = /Share/ browseable = yes writable = yes printable = no vfs objects = recycle guest ok = yes read only = no recycle:repository = .recycle recycle:keeptree = yes 実際の動きはデモで!!
© SIOS Technology, Inc. All rights Reserved. Windows Serverの場合 Windowsだと商用で「Undelete」がある
© SIOS Technology, Inc. All rights Reserved. Windows Serverの場合 その他、VSS(Volume Shadow-copy Service) を有効にしておくのがおすすめ 定期的なスナップショット - パフォーマンス劣化は小さい - ランサムウェアにやられても、 「直前にスナップショット取ってた 時点のファイル」に戻せる
© SIOS Technology, Inc. All rights Reserved. ゴミ箱のメリット・デメリット メリット • 暗号化ランサムウェアだけでなくファイル削除型にも効く • オペミスで削除したファイルでも復活できる • 直前の状態が入っているので、そこから復活すれば感染直前の 状態に復活できる • ゴミ箱もバックアップ対象にすれば直近まで戻せる デメリット • 容量が増える -> ストレージのコストとリスクの兼ね合い -> メンテナンスが必要になる(定期的にパージ) • 戻すときにサーバ側で対応が必要 -> ランサムウェア感染とか、どっちみち管理者に報告でしょ? 一昔前のNetWareの時は。。。。
© SIOS Technology, Inc. All rights Reserved. でもちょっと待った 削除じゃなくて「改変」されるとどうなる? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 改変 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除 改変要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 改変(write) こうなってくるとどうする?
© SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 27 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() サーバ側から見ると全く区別がつかない
© SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 28 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_MODIFY FAN_CLOSE_WRITE FAN_CLOSE_NOWRITE 書き込み完了時でしか フック出来ない ->書き込み前のバックアップが 取れない
© SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 29 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_OPEN 原理的に可能 枯れていない やはり「こまめにバックアップ」併用が今は確実
© SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 30 バックアップサーバ編
© SIOS Technology, Inc. All rights Reserved. バックアップサーバ側で考えること バックアップ側で対応するには 1. 複数のバックアップ 2. 日時ごとのバックアップの保管 3. バックアップ時以外は切り離す
© SIOS Technology, Inc. All rights Reserved. バックアップサーバ側で考えること 例えば商用のストレージ(EMCなど)だと ストレージ Shadow ボリューム Mirroring backup Monday backup Tuesday backup Wednesday D2D D2D D2D 普段はRead-Only
© SIOS Technology, Inc. All rights Reserved. 一般的な環境なら ストレージ Backup 1 Backup 2 Backup 3 D2D D2D D2D 時間が許容範囲ならバックアップを3回走らせる
© SIOS Technology, Inc. All rights Reserved. 取得時間が手短 ストレージ Backup 1 Backup 2 Backup 3 D2D D2D 取得したバックアップを他のボリュームにコピー D2D
© SIOS Technology, Inc. All rights Reserved. 容量は少なく限定的だが ストレージ Backup 1 Backup 2 D2D D2D ISOファイル作って焼いてしまう D2D 容量が限られるので 重要ファイルだけDVD
© SIOS Technology, Inc. All rights Reserved. RISK ストレージ Backup 1 Backup 2 Backup 3 D2D D2D バックアップの一つにMalwareが混入すると D2D バックアップのコピーで 拡散してしまう
© SIOS Technology, Inc. All rights Reserved. バックアップ時以外は切り離す 37 意外と忘れがち 通常は(サーバからは)マウント対象から外す マウントしなくてもバックアップ取れる方法を 1. rsync + ssh (お手軽+定番) 2. Bacula(製品版)、NetBackupなどの商用
© SIOS Technology, Inc. All rights Reserved. 3. まとめ 38
© SIOS Technology, Inc. All rights Reserved. 3. まとめ ランサムウェアをサーバ側で対策するには 1. 各端末は統合管理環境でAntiVirusソフトを運用 2. サーバはネットワークごみ箱などを使用 3. 3つ以上の物理的にわかれたメディアでバックアップ 4. 必要な時以外はバックアップは接続しない が基本!!
40

Recommended

CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御
Toshiharu Harada, Ph.D
 
VDI 環境下での IBM Notes の導入設定について
VDI 環境下での IBM Notes の導入設定についてVDI 環境下での IBM Notes の導入設定について
VDI 環境下での IBM Notes の導入設定について
健補 萩原
 
OpenStack & SELinux
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinux
Hiroki Ishikawa
 
P2Pシステム上での安定したサービス提供基盤musasabi
P2Pシステム上での安定したサービス提供基盤musasabiP2Pシステム上での安定したサービス提供基盤musasabi
P2Pシステム上での安定したサービス提供基盤musasabiKota Abe
 
Isc2 japan chapter発足LT
Isc2 japan chapter発足LTIsc2 japan chapter発足LT
Isc2 japan chapter発足LTHaga Takeshi
 
Azure Bastion の紹介
Azure Bastion の紹介Azure Bastion の紹介
Azure Bastion の紹介
Masakazu Kishima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
Alfresco勉強会#15 alfresco 4をインストールしてみよう!
Alfresco勉強会#15 alfresco 4をインストールしてみよう!Alfresco勉強会#15 alfresco 4をインストールしてみよう!
Alfresco勉強会#15 alfresco 4をインストールしてみよう!
Tasuku Otani
 

Recommended

CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御CaitSith 新しいルールベースのカーネル内アクセス制御
CaitSith 新しいルールベースのカーネル内アクセス制御
Toshiharu Harada, Ph.D
 
VDI 環境下での IBM Notes の導入設定について
VDI 環境下での IBM Notes の導入設定についてVDI 環境下での IBM Notes の導入設定について
VDI 環境下での IBM Notes の導入設定について
健補 萩原
 
OpenStack & SELinux
OpenStack & SELinuxOpenStack & SELinux
OpenStack & SELinux
Hiroki Ishikawa
 
P2Pシステム上での安定したサービス提供基盤musasabi
P2Pシステム上での安定したサービス提供基盤musasabiP2Pシステム上での安定したサービス提供基盤musasabi
P2Pシステム上での安定したサービス提供基盤musasabiKota Abe
 
Isc2 japan chapter発足LT
Isc2 japan chapter発足LTIsc2 japan chapter発足LT
Isc2 japan chapter発足LTHaga Takeshi
 
Azure Bastion の紹介
Azure Bastion の紹介Azure Bastion の紹介
Azure Bastion の紹介
Masakazu Kishima
 
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 VulsInternet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Internet Week 2016 脆弱性スキャナによる対策支援の課題 Vuls
Kota Kanbe
 
Alfresco勉強会#15 alfresco 4をインストールしてみよう!
Alfresco勉強会#15 alfresco 4をインストールしてみよう!Alfresco勉強会#15 alfresco 4をインストールしてみよう!
Alfresco勉強会#15 alfresco 4をインストールしてみよう!
Tasuku Otani
 
A start point on a security study of a Raspberry pi version 0.4
A start point on a security study of a Raspberry pi version 0.4A start point on a security study of a Raspberry pi version 0.4
A start point on a security study of a Raspberry pi version 0.4
Kiyoshi Ogawa
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
 
【SSS】ads-introduction2013
【SSS】ads-introduction2013【SSS】ads-introduction2013
【SSS】ads-introduction2013
sss-share
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
 
VMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーVMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティー
Naruhide Tonesaku
 
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
 
Vuls×deep security
Vuls×deep securityVuls×deep security
Vuls×deep security
一輝 長澤
 
cybozu.comの仕組み
cybozu.comの仕組みcybozu.comの仕組み
cybozu.comの仕組み
cybozutw
 
資料
資料資料
資料Tatsuya Ueda
 
クイズを支える技術2017
クイズを支える技術2017クイズを支える技術2017
クイズを支える技術2017
Satoshi Hirata
 
ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減
MKT International Inc.
 
meet.php #11 - Huston, we have an airbrake
meet.php #11 - Huston, we have an airbrakemeet.php #11 - Huston, we have an airbrake
meet.php #11 - Huston, we have an airbrake
Max Małecki
 
LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識
MKT International Inc.
 
神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料
MKT International Inc.
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
MKT International Inc.
 
Tornado en San Pedro, Misiones
Tornado en San Pedro, MisionesTornado en San Pedro, Misiones
Tornado en San Pedro, MisionesPatricia Bertolotti
 
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
株式会社クライム
 
LVSつこうた話
LVSつこうた話LVSつこうた話
LVSつこうた話Satoshi Hirata
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
Hiromichi Koga
 
Elastic stack 世界にさらしたサーバを可視化してみた
Elastic stack 世界にさらしたサーバを可視化してみたElastic stack 世界にさらしたサーバを可視化してみた
Elastic stack 世界にさらしたサーバを可視化してみた
Masamitsu Maehara
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Kazuki Omo
 

More Related Content

What's hot

A start point on a security study of a Raspberry pi version 0.4
A start point on a security study of a Raspberry pi version 0.4A start point on a security study of a Raspberry pi version 0.4
A start point on a security study of a Raspberry pi version 0.4
Kiyoshi Ogawa
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Takayuki Ushida
 
【SSS】ads-introduction2013
【SSS】ads-introduction2013【SSS】ads-introduction2013
【SSS】ads-introduction2013
sss-share
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
morisshi
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
Insight Technology, Inc.
 
VMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーVMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティー
Naruhide Tonesaku
 
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
sss-share
 
Vuls×deep security
Vuls×deep securityVuls×deep security
Vuls×deep security
一輝 長澤
 
cybozu.comの仕組み
cybozu.comの仕組みcybozu.comの仕組み
cybozu.comの仕組み
cybozutw
 
クイズを支える技術2017
クイズを支える技術2017クイズを支える技術2017
クイズを支える技術2017
Satoshi Hirata
 

What's hot (11)

A start point on a security study of a Raspberry pi version 0.4
A start point on a security study of a Raspberry pi version 0.4A start point on a security study of a Raspberry pi version 0.4
A start point on a security study of a Raspberry pi version 0.4
 
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
Vulsで危険な脆弱性を最速検知!(The fastest detection of dangerous vulnerability by Vuls! )
 
【SSS】ads-introduction2013
【SSS】ads-introduction2013【SSS】ads-introduction2013
【SSS】ads-introduction2013
 
侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用侵入防御の誤検知を減らすためのDeepSecurity運用
侵入防御の誤検知を減らすためのDeepSecurity運用
 
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
[data security showcase Sapporo 2015] D23:ホームページ改ざんや情報流出からWEBを守る! ~WAF「SiteGu...
 
VMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティーVMware vSphereとプラットフォーム・セキュリティー
VMware vSphereとプラットフォーム・セキュリティー
 
【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス【SSS】クラウド型セキュリティ・サービス
【SSS】クラウド型セキュリティ・サービス
 
Vuls×deep security
Vuls×deep securityVuls×deep security
Vuls×deep security
 
cybozu.comの仕組み
cybozu.comの仕組みcybozu.comの仕組み
cybozu.comの仕組み
 
資料
資料資料
資料
 
クイズを支える技術2017
クイズを支える技術2017クイズを支える技術2017
クイズを支える技術2017
 

Viewers also liked

ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減
MKT International Inc.
 
meet.php #11 - Huston, we have an airbrake
meet.php #11 - Huston, we have an airbrakemeet.php #11 - Huston, we have an airbrake
meet.php #11 - Huston, we have an airbrake
Max Małecki
 
LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識
MKT International Inc.
 
神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料
MKT International Inc.
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
MKT International Inc.
 

Viewers also liked (6)

ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減ツールを用いた脆弱性リスクの管理・低減
ツールを用いた脆弱性リスクの管理・低減
 
meet.php #11 - Huston, we have an airbrake
meet.php #11 - Huston, we have an airbrakemeet.php #11 - Huston, we have an airbrake
meet.php #11 - Huston, we have an airbrake
 
LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識LTO/オートローダー/仮想テープライブラリの基礎知識
LTO/オートローダー/仮想テープライブラリの基礎知識
 
神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料神戸大学MBA修了生勉強会資料
神戸大学MBA修了生勉強会資料
 
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
B2Bデジタルマーケティング最前線 〜顧客は会社でなく、そこに存在する人である〜
 
Tornado en San Pedro, Misiones
Tornado en San Pedro, MisionesTornado en San Pedro, Misiones
Tornado en San Pedro, Misiones
 

Similar to ランサムウェアをサーバー側から対策する

IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
株式会社クライム
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
Hiromichi Koga
 
Elastic stack 世界にさらしたサーバを可視化してみた
Elastic stack 世界にさらしたサーバを可視化してみたElastic stack 世界にさらしたサーバを可視化してみた
Elastic stack 世界にさらしたサーバを可視化してみた
Masamitsu Maehara
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Kazuki Omo
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介
OSSラボ株式会社
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014Hiroshi Tokumaru
 
Dockerエンタープライズ利用について
Dockerエンタープライズ利用についてDockerエンタープライズ利用について
Dockerエンタープライズ利用について
Mitsutoshi Kiuchi
 
Lk on vm solution 20130508
Lk on vm solution 20130508Lk on vm solution 20130508
Lk on vm solution 20130508tdaitoku
 
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
Hiroshi Tokumaru
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" 2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
Shinichiro Kawano
 
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platformコンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
Creationline,inc.
 
不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について
Yasunori Goto
 
Sr econt
Sr econtSr econt
Sr econt
Tsuyoshi Nakamura
 
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?
Atsushi Mitsu
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟
真琴 平賀
 
vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!
vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!
vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!
株式会社クライム
 
受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術
Hiroshi Koyama
 
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateCMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
OSSラボ株式会社
 
141030ceph
141030ceph141030ceph
141030ceph
OSSラボ株式会社
 

Similar to ランサムウェアをサーバー側から対策する (20)

IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
IBMビジネスパートナー合同フェア2019 『Veeamで簡単にクラウドへのバックアップ、リス トアことはじめ』
 
LVSつこうた話
LVSつこうた話LVSつこうた話
LVSつこうた話
 
[網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI [網元] WordPress 高速化チューニング AMI
[網元] WordPress 高速化チューニング AMI
 
Elastic stack 世界にさらしたサーバを可視化してみた
Elastic stack 世界にさらしたサーバを可視化してみたElastic stack 世界にさらしたサーバを可視化してみた
Elastic stack 世界にさらしたサーバを可視化してみた
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
 
オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介オープンソースNW監視ツールのご紹介
オープンソースNW監視ツールのご紹介
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
 
Dockerエンタープライズ利用について
Dockerエンタープライズ利用についてDockerエンタープライズ利用について
Dockerエンタープライズ利用について
 
Lk on vm solution 20130508
Lk on vm solution 20130508Lk on vm solution 20130508
Lk on vm solution 20130508
 
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" 2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
 
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platformコンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
 
不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について不揮発メモリ(NVDIMM)とLinuxの対応動向について
不揮発メモリ(NVDIMM)とLinuxの対応動向について
 
Sr econt
Sr econtSr econt
Sr econt
 
そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?そろそろSELinux を有効にしてみませんか?
そろそろSELinux を有効にしてみませんか?
 
0709wordbench新潟
0709wordbench新潟0709wordbench新潟
0709wordbench新潟
 
vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!
vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!
vSphereストレージ高速化事例特集:サーバキャッシュのメリット、活用方法をご紹介!
 
受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術
 
CMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 updateCMDBuild overview (Japanese) V2.4 update
CMDBuild overview (Japanese) V2.4 update
 
141030ceph
141030ceph141030ceph
141030ceph
 

More from MKT International Inc.

サーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向についてサーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向について
MKT International Inc.
 
MySQLはじめの第一歩
MySQLはじめの第一歩MySQLはじめの第一歩
MySQLはじめの第一歩
MKT International Inc.
 
自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!
MKT International Inc.
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?
MKT International Inc.
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?
MKT International Inc.
 
ボイストレーニング入門
ボイストレーニング入門ボイストレーニング入門
ボイストレーニング入門
MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)
MKT International Inc.
 
経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方
MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)
MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)
MKT International Inc.
 
パーソナルカラー入門
パーソナルカラー入門パーソナルカラー入門
パーソナルカラー入門
MKT International Inc.
 
上司が見たい数字の見せ方
上司が見たい数字の見せ方上司が見たい数字の見せ方
上司が見たい数字の見せ方
MKT International Inc.
 
グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)
MKT International Inc.
 
エンジニアのキャリアを考える
エンジニアのキャリアを考えるエンジニアのキャリアを考える
エンジニアのキャリアを考える
MKT International Inc.
 
提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)
MKT International Inc.
 
[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC
MKT International Inc.
 
バックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめバックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめ
MKT International Inc.
 
バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎
MKT International Inc.
 
MySQLコミュニティいろいろ
MySQLコミュニティいろいろMySQLコミュニティいろいろ
MySQLコミュニティいろいろ
MKT International Inc.
 
OSS Market Momentum In Japan
OSS Market Momentum In JapanOSS Market Momentum In Japan
OSS Market Momentum In Japan
MKT International Inc.
 

More from MKT International Inc. (20)

サーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向についてサーバーサイドにおけるOSSセキュリティ市場動向について
サーバーサイドにおけるOSSセキュリティ市場動向について
 
MySQLはじめの第一歩
MySQLはじめの第一歩MySQLはじめの第一歩
MySQLはじめの第一歩
 
自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!自分にあった英語学習法を探してみよう!
自分にあった英語学習法を探してみよう!
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?
 
求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?求められているエンジニアのナレッジってなに?
求められているエンジニアのナレッジってなに?
 
ボイストレーニング入門
ボイストレーニング入門ボイストレーニング入門
ボイストレーニング入門
 
グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)グローバル時代に求められるキャリアと生き方(有賀さん)
グローバル時代に求められるキャリアと生き方(有賀さん)
 
経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方経済を理解する数字の見方、上司が見たい数字の見せ方
経済を理解する数字の見方、上司が見たい数字の見せ方
 
グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)グローバル時代に求められるキャリアと生き方(全体資料)
グローバル時代に求められるキャリアと生き方(全体資料)
 
グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)グローバル時代に求められるキャリアと生き方(高岡さん)
グローバル時代に求められるキャリアと生き方(高岡さん)
 
パーソナルカラー入門
パーソナルカラー入門パーソナルカラー入門
パーソナルカラー入門
 
上司が見たい数字の見せ方
上司が見たい数字の見せ方上司が見たい数字の見せ方
上司が見たい数字の見せ方
 
グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)グローバル時代に求められるキャリアと生き方(梶山さん)
グローバル時代に求められるキャリアと生き方(梶山さん)
 
エンジニアのキャリアを考える
エンジニアのキャリアを考えるエンジニアのキャリアを考える
エンジニアのキャリアを考える
 
提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)提案に役に立つ情報 (teianlab 勉強会)
提案に役に立つ情報 (teianlab 勉強会)
 
[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC[キャリア支援]失敗しない! 初めての起業のステップABC
[キャリア支援]失敗しない! 初めての起業のステップABC
 
バックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめバックアップ勉強会資料: システムバックアップのすすめ
バックアップ勉強会資料: システムバックアップのすすめ
 
バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎バックアップ勉強会#1 バックアップ基礎
バックアップ勉強会#1 バックアップ基礎
 
MySQLコミュニティいろいろ
MySQLコミュニティいろいろMySQLコミュニティいろいろ
MySQLコミュニティいろいろ
 
OSS Market Momentum In Japan
OSS Market Momentum In JapanOSS Market Momentum In Japan
OSS Market Momentum In Japan
 

ランサムウェアをサーバー側から対策する

  • 1. © SIOS Technology, Inc. All rights Reserved. ランサムウェアをサーバー側から対策する 1 2016/06/15 OSS/Security Evangelist 面 和毅
  • 2. © SIOS Technology, Inc. All rights Reserved. Agenda 2 1. ランサムウェアのおさらい 2. ランサムウェアへの対策 1. やられないようにする 2. やられても良いようにする 3. まとめ
  • 3. © SIOS Technology, Inc. All rights Reserved. 自己紹介 3  Linux/OSS歴18年  OSSのセキュリティにフォーカス  アクセス制御(SELinux, LIDS)  AntiVirus  SIEM  SIer, ベンダ, 顧客(管理者)の立場を経験
  • 4. © SIOS Technology, Inc. All rights Reserved. 1.ランサムウェアのおさらい 4
  • 5. © SIOS Technology, Inc. All rights Reserved. ランサムウェアとは 5 ランサムウェア 別名:身代金ウィルス,身代金ウイルス,身代金型ウィルス,身代金要求ウイルス 【英】ransomware ランサムウェアとは、マルウェア(悪意のあるソフトウェ ア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身 代金」(ransom)を要求するソフトウェアのことである。
  • 6. © SIOS Technology, Inc. All rights Reserved. 結局ランサムウェアって何をやるの? ローカルHDDを 暗号化orファイル消去 繋がったUSBメモリを 暗号化orファイル消去 ネットワークマウントしている フォルダの暗号化orファイル消去 繋がっているありとあらゆるデバイス内のファイルを ・暗号化 -> 複合化でお金を取る ・ランダムに消していく -> 「今すぐお金を振り込みなさい!!」
  • 7. © SIOS Technology, Inc. All rights Reserved. じゃあ、対処方法は?? まずは対処方法を整理してみましょう 動きだけ見ていると、やはり「ウィルス感染」->「暗号化」に置き換えた だけで、今までのウィルス感染対策と基本姿勢は同じ。 ランサムウェアに • やられないようにする • やられても良いようにする で考えてみましょう
  • 8. © SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-1. やられないようにする 8
  • 9. © SIOS Technology, Inc. All rights Reserved. まずはやられないようにする 1. AntiVirusソフトウェアを各端末にインストール • 既存のランサムウェアは各社のAntiVirusソフトで検知可能 • 「AntiVirusじゃ防げない!」というショッキングなトークに 騙されない 2. USBなど外部デバイスの禁止。少なくとも常時挿しておかない 3. 外部アクセスのWebブラウザもプラグインは最小にする 4. メーラーも設定を確認して、添付ファイルを開くときに気を付ける
  • 10. © SIOS Technology, Inc. All rights Reserved. 何か参考になるものは? 結局、標的型攻撃の対策と同じ 年金機構の再発防止策(一部)が参考になる 「プラグイン」などの 拡張機能の使用の制限 メールの 添付ファイル扱い 埋め込みコンテンツの 取り込み設定制限 年金機構事件の問題への対応
  • 11. © SIOS Technology, Inc. All rights Reserved. サーバ側で対策出来る? • AntiVirusを統合して、防御に漏れがないようにする • AntiVirus製品はヘテロな環境を(意図的に)作る TrendMicro製品 Sophos製品 製品を選ぶときは対応OSで選びましょう 最近はどのAntiVirusも同じようなものです
  • 12. © SIOS Technology, Inc. All rights Reserved. 2016年4月時点での各社の検知率 12
  • 13. © SIOS Technology, Inc. All rights Reserved. 的確なスキャン設計・設定 13 スキャン対象・対象外を明確にする • DBファイルとかISOファイルとかスキャン してませんか? • 圧縮ファイルのスキャンは注意が必要 • アーカイブファイルのスキャンは必要か?
  • 14. © SIOS Technology, Inc. All rights Reserved. とは言っても • 結局、人間がやることには漏れはあり得る • 最新のランサムウェアだとAntiVirus対応に時間がかかる • 新しい攻撃方法が出てくるかもしれない 「やられても良いようにする」対策を考えておきましょう
  • 15. © SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 15
  • 16. © SIOS Technology, Inc. All rights Reserved. サーバ側で考えること 「やられても良いようにする」とは(以下、サーバ側視点) ファイルサーバ側 • ランサムウェアが変な行動を出来ないようにする • ファイルを改変(暗号化)されても元に戻せるようにする バックアップサーバ側 • 最悪の場合、バックアップから戻せるようにする
  • 17. © SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 17 ファイルサーバ編
  • 18. © SIOS Technology, Inc. All rights Reserved. ファイルサーバ側で考えること 「やられても良いようにする」ためには。。。。 まず、ランサムウェアがどう動くかを詳しく考察しよう! ただし、「サーバ側で対応する」のが大前提。
  • 19. © SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 ランサムウェアとファイルサーバの動き ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ファイルサーバとしては当たり前の動作
  • 20. © SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 じゃあどうするか? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 ここを何とかしてみよう
  • 21. © SIOS Technology, Inc. All rights Reserved. ファイルサーバ側 ファイルが消されても良いようにするには? 復活させる方法があればいい ファイルサーバ側でゴミ箱(Recycle bin)を使う!!
  • 22. © SIOS Technology, Inc. All rights Reserved. Linux+Sambaの場合 Samba3/4ならRecycle binの設定ができる ファイ共有セクションで「vfs objects = recycle」を 指定することで、ごみ箱機能を有効に。 [Share] comment = Public Stuff path = /Share/ browseable = yes writable = yes printable = no vfs objects = recycle guest ok = yes read only = no recycle:repository = .recycle recycle:keeptree = yes 実際の動きはデモで!!
  • 23. © SIOS Technology, Inc. All rights Reserved. Windows Serverの場合 Windowsだと商用で「Undelete」がある
  • 24. © SIOS Technology, Inc. All rights Reserved. Windows Serverの場合 その他、VSS(Volume Shadow-copy Service) を有効にしておくのがおすすめ 定期的なスナップショット - パフォーマンス劣化は小さい - ランサムウェアにやられても、 「直前にスナップショット取ってた 時点のファイル」に戻せる
  • 25. © SIOS Technology, Inc. All rights Reserved. ゴミ箱のメリット・デメリット メリット • 暗号化ランサムウェアだけでなくファイル削除型にも効く • オペミスで削除したファイルでも復活できる • 直前の状態が入っているので、そこから復活すれば感染直前の 状態に復活できる • ゴミ箱もバックアップ対象にすれば直近まで戻せる デメリット • 容量が増える -> ストレージのコストとリスクの兼ね合い -> メンテナンスが必要になる(定期的にパージ) • 戻すときにサーバ側で対応が必要 -> ランサムウェア感染とか、どっちみち管理者に報告でしょ? 一昔前のNetWareの時は。。。。
  • 26. © SIOS Technology, Inc. All rights Reserved. でもちょっと待った 削除じゃなくて「改変」されるとどうなる? ファイルの 暗号化 暗号化ファイル 書き込み 元ファイルの 削除 改変 端末 ファイル サーバ • 対象ファイルの 選択 • ファイルの 暗号化 • 暗号化ファイルの 書き込み • smbdなどから 共有ボリュームへの 何らかのファイルの 書き込み(位置は どこでも良い) • smbdなどから 対象ファイルへの sys_open/sys_read • 対象ファイルへの sys_close (律儀なら) • 対象ファイルの 削除 改変要求 • smbdなどからの要求 により共有ボリュームの 何らかのファイルの削除 改変(write) こうなってくるとどうする?
  • 27. © SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 27 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() サーバ側から見ると全く区別がつかない
  • 28. © SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 28 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_MODIFY FAN_CLOSE_WRITE FAN_CLOSE_NOWRITE 書き込み完了時でしか フック出来ない ->書き込み前のバックアップが 取れない
  • 29. © SIOS Technology, Inc. All rights Reserved. サーバOS側から見ると 29 Kernel PC/User システムコール fopen() sys_open() fread() fwrite() sys_read() sys_write() Fanotify/inotifyを使って書き込み前に バックアップを作成 FAN_OPEN 原理的に可能 枯れていない やはり「こまめにバックアップ」併用が今は確実
  • 30. © SIOS Technology, Inc. All rights Reserved. 2. ランサムウェアの対策 2-2. やられても良いようにする 30 バックアップサーバ編
  • 31. © SIOS Technology, Inc. All rights Reserved. バックアップサーバ側で考えること バックアップ側で対応するには 1. 複数のバックアップ 2. 日時ごとのバックアップの保管 3. バックアップ時以外は切り離す
  • 32. © SIOS Technology, Inc. All rights Reserved. バックアップサーバ側で考えること 例えば商用のストレージ(EMCなど)だと ストレージ Shadow ボリューム Mirroring backup Monday backup Tuesday backup Wednesday D2D D2D D2D 普段はRead-Only
  • 33. © SIOS Technology, Inc. All rights Reserved. 一般的な環境なら ストレージ Backup 1 Backup 2 Backup 3 D2D D2D D2D 時間が許容範囲ならバックアップを3回走らせる
  • 34. © SIOS Technology, Inc. All rights Reserved. 取得時間が手短 ストレージ Backup 1 Backup 2 Backup 3 D2D D2D 取得したバックアップを他のボリュームにコピー D2D
  • 35. © SIOS Technology, Inc. All rights Reserved. 容量は少なく限定的だが ストレージ Backup 1 Backup 2 D2D D2D ISOファイル作って焼いてしまう D2D 容量が限られるので 重要ファイルだけDVD
  • 36. © SIOS Technology, Inc. All rights Reserved. RISK ストレージ Backup 1 Backup 2 Backup 3 D2D D2D バックアップの一つにMalwareが混入すると D2D バックアップのコピーで 拡散してしまう
  • 37. © SIOS Technology, Inc. All rights Reserved. バックアップ時以外は切り離す 37 意外と忘れがち 通常は(サーバからは)マウント対象から外す マウントしなくてもバックアップ取れる方法を 1. rsync + ssh (お手軽+定番) 2. Bacula(製品版)、NetBackupなどの商用
  • 38. © SIOS Technology, Inc. All rights Reserved. 3. まとめ 38
  • 39. © SIOS Technology, Inc. All rights Reserved. 3. まとめ ランサムウェアをサーバ側で対策するには 1. 各端末は統合管理環境でAntiVirusソフトを運用 2. サーバはネットワークごみ箱などを使用 3. 3つ以上の物理的にわかれたメディアでバックアップ 4. 必要な時以外はバックアップは接続しない が基本!!
  • 40. 40