ビュー:

ランサムウェア対策機能とは

ランサムウェア対策機能では、未知のランサムウェア (身代金型ウイルス) が、データを不正に暗号化したり、変更したりする動きを検知し、ブロックします。

プログラムの挙動を監視するため、社内で利用されている業務アプリケーションの挙動によっては、不審な変更と判断してブロックや隔離してしまい、社内で利用しているアプリケーションが使用できなくなる場合があります。

事前に一部のセキュリティエージェントにおいてテストを実施した上で、全体に対して有効にすることを推奨します。また、業務で利用するアプリケーションは「除外リスト」に登録することで、パフォーマンスの低下を防ぐことができます。

ランサムウェア対策機能を有効にする方法

  1. Web管理コンソールを開き、ログオンします。
  2. メニューから [セキュリティエージェント] をクリックし、対象となるグループを選択して [ポリシーの設定] をクリックします。
     
    ※ 設定を有効/無効にしたい端末が含まれているグループを選択してください。
  3. メニューから「挙動監視」をクリックします。
  4. 「挙動監視」を有効にします。
  5. ランサムウェア対策の各項目にチェックを入れます。
  6. 最後に画面の一番下にある「保存」ボタンをクリックします。
 

ランサムウェア対策項目の機能内容

各機能の内容は以下のとおりです。

 

不正なファイル暗号化や変更から文書を保護

ドキュメント、画像、音声ファイルなど特定のファイルの種類を監視対象とし、不審なプロセスが監視対象のドキュメントに対して変更等を実施しようとした際にプロセスを停止し、実行元のプログラムの隔離を行います。
本機能で検知された場合、ウイルスログ、および挙動監視ログにおいて、「Unauthorized File Encryption」と表示されます。

該当プログラムが問題無いものと確認されている場合は、除外設定に該当プロセスを登録後、下記手順で復元を実施ください。

不審なプログラムによって変更されたファイルを自動的にバックアップして復元

不審なアクセスがあったファイルを自動的にバックアップし、ランサムウェアと思われるプロセスによるファイルの暗号化または変更を検知すると、ファイルの復元を試みます。
本機能は、「不正な暗号化や変更から文書を保護 」が有効な場合に有効にでき、バックアップおよび復元対象のドキュメントも同等となります。
リムーバブルメディアおよび共有フォルダのファイルは対象外となります。
 

本機能の設定値は以下となります。各設定値の変更は出来ません。

項目

設定値

設定値を越えた場合の動作

バックアップ対象のファイルサイズ上限

10 MB

バックアップ対象外

バックアップフォルダ上限

100MB

古いバックアップファイルから削除

保存期間

14日間

古いバックアップファイルから削除

 

なお、他プロセスからのアクセス状況や、バックアップ元のファイルの状況によっては復元できない場合があります。復元状況は挙動監視ログで確認できます。

ランサムウェアに関連付けられていることの多いプロセスをブロック

OSで利用されている実行ファイル等にインジェクションされるようなランサムウェアの挙動を監視し、不審な動作をブロックします。
本検出があった場合は、ウイルス/不正プログラム検索では、セキュリティ上の脅威に “Ransomware Process “として検出結果が表示されます。また、挙動監視ログにも該当のプロセスが表示されます。
 

64bit OS においてはカーネルモードでの検出に制限があるため、ユーザモードでプロセスの挙動を監視し、ランサムウェア特有の挙動をする実行可能ファイルを検出しブロックします。
お使いの環境において、ユーザモードでプロセス挙動を監視する仕組みを搭載している場合、お互いにインジェクションが発生し動作が不安定になる場合があります。事前に影響が無いかどうか動作確認を実施したうえでご使用ください。

プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック

コンピュータのプロセス挙動監視を強化し、ランサムウェア特有の挙動をする実行可能ファイルを検出しブロックします。

ランサムウェア対策に効果的なビジネスセキュリティサービスの設定

ランサムウェア対策機能の他にも有効にすることでランサムウェア対策に効果的な設定があります。
詳細は以下の製品Q&Aをご確認ください。