ナビゲーションをスキップする

Azure Firewall でランサムウェア攻撃に対するセキュリティ防御を強化

2022年2月1日 に投稿済み

Principal Program Manager

Azure 上で実行しているお客様がランサムウェア攻撃から確実に保護されるよう、Microsoft は Azure セキュリティに多額の投資を行い、お客様の Azure クラウド ワークロードを保護するために必要なセキュリティ コントロールを提供しています。

ベスト プラクティスと推奨事項の包括的な概要は、e-Book 『ランサムウェアに対する Azure の防御』でご確認いただけます。

ここでは、ネットワーク セキュリティに焦点を当て、Azure Firewall がどのようにランサムウェアに対する保護に役立つかを理解します。

ランサムウェアは基本的に、金銭が支払われるまでお客様のコンピューター システムへのアクセスをブロックするように設計された、悪意のあるソフトウェアの一種です。攻撃者は通常、お客様のシステムの既存の脆弱性を悪用してネットワークに侵入し、ターゲットとなるホスト上で悪意のあるソフトウェアを実行します。

ランサムウェアは、悪意のある添付ファイルを含むフィッシング メールや、ドライブバイ ダウンロードによって拡散されることがよくあります。ドライブバイ ダウンロードは、ユーザーが知らずに感染した Web サイトを訪問し、マルウェアがダウンロードされ、インストールされることで発生します。

ここで、Azure Firewall Premium が役に立ちます。侵入検知防御システム (IDPS) 機能により、ヘッダーとペイロードを含め、すべてのパケットが徹底的に検査され、悪意のある活動を特定し、お客様のネットワークへの侵入を防止することができます。IDPS を使用すると、お客様のネットワークを監視して悪意のあるアクティビティがないか確認し、このアクティビティに関する情報をログに記録し、それを報告して、必要に応じてそのブロックを試みることができます。

IDPS シグネチャは、アプリケーションとネットワークレベルのトラフィック (レイヤー 4 - 7) の両方に適用可能です。これらはフル マネージドで、50 以上の異なるカテゴリーに属する 65,000 以上のシグネチャが含まれ、絶えず変化する攻撃の状況に常に対応できるように設計されています。

  1. Azure Firewall は、Microsoft Active Protections Program (MAPP) と Microsoft Security Response Center (MSRC) から、脆弱性情報を早期に取得しています。
  2. Azure Firewall によって、毎日 30 から 50 の新しいシグネチャがリリースされています。

現在、インターネット トラフィックを保護するために、Secure Sockets Layer (SSL) やトランスポート層セキュリティ (TLS) などの最新の暗号化が世界的に使用されています。攻撃者は、暗号化を利用して、悪意のあるソフトウェアを被害者のネットワークに運び込んでいます。そのため、お客様は他のトラフィックと同様に、暗号化されたトラフィックを検査する必要があります。

Azure Firewall Premium IDPS を使用すると、暗号化されていないトラフィックですべてのポートとプロトコルの攻撃を検出できます。ただし、HTTPS トラフィックを検査する必要がある場合、Azure Firewall の TLS 検査機能を使用することで、トラフィックを復号化し、悪意のあるアクティビティをより的確に検出できます。

ランサムウェアがターゲット コンピューターにインストールされた後、それによってコンピューターのデータが暗号化される場合があります。そのため、暗号化キーを使用する必要がある場合は、ホストされているコマンド アンド コントロール (C&C) サーバーから暗号化キーを取得するために、攻撃者によって C&C が使用される場合があります。CryptoLocker、WannaCry、TeslaCrypt、Cerber、Locky などは、C&C を使用して必要な暗号化キーを取得するランサムウェアの一部です。

Azure Firewall Premium には、C&C 接続を検知してブロックし、攻撃者が顧客のデータを暗号化するのを防ぐよう設計された数百のシグネチャが備わっています。

コマンド アンド コントロール チャネルを使用したランサムウェア攻撃に対するファイアウォール保護。

図 1:コマンド アンド コントロール チャネルを使用したランサムウェア攻撃に対するファイアウォール保護

ランサムウェア攻撃を回避するための包括的なアプローチ

ランサムウェアの攻撃を防ぐには、総合的なアプローチを取ることをお勧めします。Azure Firewall は既定の拒否モードで動作し、管理者が明示的に許可しない限り、アクセスをブロックします。脅威インテリジェンス (TI) 機能を警告/拒否モードで有効にすると、既知の悪意のある IP やドメインへのアクセスがブロックされます。Microsoft Threat Intel フィードは、新規および新興の脅威に基づいて継続的に更新されます。

ファイアウォール ポリシーは、ファイアウォールの一元的な設定に使用することができます。これにより、脅威への迅速な対応が可能になります。お客様は、数回クリックするだけで、複数のファイアウォールに対して Threat Intel と IDPS を有効にすることができます。Web カテゴリを使用すると、管理者はギャンブルの Web サイトやソーシャル メディアの Web サイトなどの Web カテゴリへのユーザーのアクセスを許可または拒否できます。URL フィルタリングは、外部サイトへのアクセスを制限し、リスクをさらに低減させます。つまり、Azure Firewall は、企業がマルウェアやランサムウェアから包括的に防御するために必要なすべてを備えているのです。

予防と同様に、検出も重要です。Microsoft Sentinel 向け Azure Firewall ソリューションは、検知と予防の両方を実現します。ソリューションのデプロイは簡単です。予防と検知を組み合わせることで、高度な脅威を可能な限り防ぐと同時に、サイバー攻撃を検知して迅速に対応する「侵害を想定するメンタリティ」を維持することができます。

Azure Firewall Premium とランサムウェアによる保護についての詳細情報