ランサムウェア対策をマイクロソフト製品で。企業向け設定と復旧手順
ランサムウェア対策としてマイクロソフト製品の活用を検討しているシステム担当者の方も多いでしょう。しかし、多様な機能をどう組み合わせれば効果的なのか、具体的な設定に迷うことも少なくありません。対策が不十分な場合、事業継続を揺るがす甚大な被害につながる恐れがあります。この記事では、WindowsやMicrosoft 365に搭載された機能を活用し、ランサムウェアに対する多層的な防御体制を構築するための具体的な予防策からインシデント対応までを解説します。
マイクロソフト製品による対策の全体像
ランサムウェアの基本的な攻撃手口
ランサムウェアは、データを不正に暗号化し、その復号と引き換えに金銭(身代金)を要求するマルウェアの一種です。近年の攻撃は単にデータを暗号化するだけでなく、事前に窃取した機密情報を公開すると脅す「二重脅迫」や、サービス停止(DDoS)攻撃を組み合わせるなど、手口が巧妙化・悪質化しています。
攻撃者は、主に以下のような経路で組織のネットワークへ侵入します。
- 仮想プライベートネットワーク(VPN)機器の脆弱性を悪用した侵入
- リモートデスクトップ接続(RDP)の認証情報を不正に利用した侵入
- 従業員を標的としたフィッシングメールによるマルウェア感染
システム内部へ侵入した攻撃者は、ネットワーク内を長期間潜伏・探索して特権アカウントを奪取し、復旧の要となるバックアップデータを破壊した上で、一斉にファイルの暗号化を実行します。これにより、企業は深刻な事業停止や情報漏洩といった甚大な被害を受けるため、侵入を防ぐ対策と、侵入後の活動を封じ込める多層的な対策が不可欠です。
予防・検知・対応の3段階で構成する
マイクロソフト製品を活用したランサムウェア対策は、単一のソリューションに依存するのではなく、「予防」「検知」「対応」の3段階で構成する多層防御の考え方が重要です。これにより、攻撃の各フェーズに応じた隙間のない防御体制を構築できます。
- 予防: 多要素認証やアクセス制御の強化により、攻撃者の初期侵入を未然に防ぐ段階。
- 検知: エンドポイント(PCやサーバー)の常時監視により、ネットワーク内部での不審な活動を早期に捉える段階。
- 対応: 万が一データが暗号化された場合に備え、安全なバックアップから迅速にデータを復旧する体制を整える段階。
これらの機能を組み合わせることで、高度な攻撃の連鎖を早期に断ち切り、事業への影響を最小限に抑えることが可能になります。
Windows標準機能による予防策
Defenderのウイルスと脅威の防止設定
Windowsに標準搭載されているセキュリティ機能「Microsoft Defender ウイルス対策」は、ランサムウェア対策の基礎となる重要な予防策です。特に、以下の設定を有効にすることが強く推奨されます。
- クラウド保護: 最新の脅威情報に基づき、未知のマルウェアをリアルタイムで検知・ブロックします。
- 改ざん防止: 攻撃者や不正なプログラムによるセキュリティ設定の無効化を防ぎ、防御機能を維持します。
これらの機能を有効にすることで、クラウドの機械学習と連携し、新たな脅威が実行される前にブロックする堅牢な防御壁をOS標準機能で構築できます。
「コントロールされたフォルダーアクセス」の設定
「コントロールされたフォルダーアクセス」は、ランサムウェアによるファイルの不正な暗号化を防ぐための極めて有効な機能です。この機能を有効にすると、指定した保護フォルダー(ドキュメント、ピクチャなど)へのアクセスが監視され、許可されていないアプリケーションによる変更がブロックされます。
万が一ランサムウェアがシステムに侵入しても、許可リストに登録されていない不正なプログラムからの書き込みは自動的に拒否されるため、重要データが暗号化される被害を水際で防ぐことができます。
リモートデスクトップ(RDP)の保護
リモートデスクトップ接続(RDP)は、ランサムウェアの主要な侵入経路の一つとして頻繁に悪用されます。このリスクを軽減するためには、認証とアクセス経路の両面から厳格な保護策を講じる必要があります。
- 複雑なパスワードの設定: 推測されにくい強力なパスワードを設定し、定期的に変更します。
- 多要素認証(MFA)の導入: パスワード認証に加え、スマートフォンアプリなどによる追加認証を必須とします。
- アクセス経路の制限: インターネットから直接RDPに接続させず、VPNやファイアウォール経由でのみアクセスを許可します。
「コントロールされたフォルダーアクセス」導入時の業務影響と対処法
「コントロールされたフォルダーアクセス」を有効にすると、正規の業務アプリケーションであっても、許可リストに登録されていない場合はファイルへの書き込みがブロックされ、業務に支障をきたす可能性があります。この影響を最小限に抑えるため、以下の手順で段階的に導入することが推奨されます。
- まずは監査モードで機能を有効にし、ブロックされる正規アプリケーションを特定します。
- 監査ログを元に、業務上必要なアプリケーションを許可リストへ事前に登録します。
- 十分なテスト期間を経てから、ブロックモードへ移行し、本格的な保護を開始します。
Microsoft 365環境でのデータ保護
Defender for Office 365によるメール脅威対策
Microsoft Defender for Office 365は、メールを起点とするランサムウェア攻撃から組織を保護するクラウドサービスです。フィッシングメールや悪意のある添付ファイルといった脅威に対し、以下の主要機能で対抗します。
| 機能名 | 役割 |
|---|---|
| 安全なリンク | メール本文中のURLをユーザーがクリックした際にリアルタイムでスキャンし、悪意のあるサイトへのアクセスをブロックします。 |
| 安全な添付ファイル | 添付ファイルを隔離された仮想環境(サンドボックス)で実行し、マルウェアの有無を安全に検証してからユーザーに配信します。 |
これらの機能により、従業員の誤操作によるマルウェア感染リスクを大幅に低減し、メール経由の侵入を効果的に阻止します。
SharePoint・OneDriveのバージョン管理機能
SharePoint OnlineやOneDrive for Businessには、ファイルのバージョン管理機能が標準で備わっています。ファイルが編集・上書きされるたびに過去のバージョンが自動的に保存されるため、ランサムウェアによってファイルが暗号化された場合でも、暗号化される前の正常な状態に簡単に復元できます。
管理者はファイルのバージョン履歴から安全な時点を選択し、数クリックでデータを元に戻せるため、データ損失のリスクを大幅に軽減できます。
OneDriveのファイル復元機能の活用
OneDriveの「ファイル復元」機能は、ランサムウェアによって広範囲のファイルが暗号化された際に、ドライブ全体を過去の任意の時点へ一括で復元する機能です。この機能を使えば、過去30日以内の特定の日時を指定し、OneDrive内のすべてのファイルをその時点の状態にロールバックできます。
個別のファイルを一つずつ復元する手間が省けるため、大規模な被害からの復旧作業を迅速かつ効率的に進めることが可能です。
多要素認証(MFA)によるアカウント保護
多要素認証(MFA)は、IDとパスワードの漏洩によるアカウントの乗っ取りを防ぐための、最も基本的かつ強力な対策です。MFAを有効にすると、パスワード(知識情報)に加えて、スマートフォンアプリでの承認(所持情報)や指紋認証(生体情報)など、第二の認証要素が要求されます。
仮にパスワードが窃取されたとしても、攻撃者は物理的なデバイスを持っていないためサインインできず、システムへの不正アクセスを根本的に防ぐことができます。
高度な検知と対応(法人向け製品)
Defender for Endpoint(EDR)による脅威検知
Microsoft Defender for Endpointは、PCやサーバーなどのエンドポイントにおける高度な脅威を検知し、対応を自動化するEDR(Endpoint Detection and Response)ソリューションです。ウイルス対策ソフトが侵入を防ぐ「警備員」だとすれば、EDRは侵入後の不審な振る舞いを監視する「防犯カメラ」の役割を果たします。
- 挙動監視: OSコマンドやスクリプト実行など、ファイルレス攻撃を含むあらゆる活動を常時記録・監視します。
- リアルタイム検知: AIがランサムウェア特有の振る舞い(大量のファイルアクセス等)を即座に検知します。
- 自動対応: 脅威を検知した端末をネットワークから自動的に隔離し、被害の拡大を阻止します。
これにより、万が一侵入を許した場合でも、データが暗号化される前に攻撃を封じ込めることが可能になります。
Microsoft Sentinel(SIEM)による統合監視
Microsoft Sentinelは、組織内の様々なシステムからログを集約・分析し、高度な脅威を横断的に検知するクラウドネイティブなSIEM(Security Information and Event Management)です。ランサムウェア攻撃は複数のシステムにまたがって進行するため、ログを一元的に分析することが不可欠です。
- ログの一元管理: エンドポイント、サーバー、クラウドサービスなど組織全体のログを集約します。
- 高度な脅威分析: AIと機械学習でログを相関分析し、巧妙な多段階攻撃の兆候を可視化します。
- 自動化された対応 (SOAR): 脅威を検知した際に、事前に定義した手順(プレイブック)に基づき、アカウントの無効化などの初動対応を自動実行します。
これにより、セキュリティ運用チームの負担を軽減しつつ、迅速かつ精度の高いインシデント対応を実現します。
感染時のインシデント対応と復旧
感染発覚後の初動対応プロセス
ランサムウェアの感染が発覚した場合、被害拡大を防ぐための迅速かつ適切な初動対応が極めて重要です。パニックにならず、定められた手順に従って行動する必要があります。
- 感染が疑われる端末をネットワークから物理的に隔離します(LANケーブルを抜く、Wi-Fiをオフにするなど)。
- メモリ上の証拠を保全するため、端末の電源は切らずに稼働させたままにします。
- 情報システム部門や経営層など、社内の関係各所へ迅速に報告し、インシデント対応体制を確立します。
- 必要に応じて、契約しているセキュリティ専門企業や警察などの関係機関へ連絡し、指示を仰ぎます。
バックアップからのデータ復旧手順
ランサムウェアからの復旧は、安全性が確認されたバックアップデータからのリストアが基本となります。攻撃者はバックアップデータ自体も狙うため、その保管方法が重要です。
- 復旧先となるシステムやネットワークが、マルウェアに感染していない完全にクリーンな状態であることを確認します。
- ネットワークから隔離されたオフラインバックアップや、変更不可能なイミュータブルバックアップなど、安全なバックアップデータを選定します。
- 感染前の正常な時点のバックアップデータを、初期化したクリーンなサーバーへ慎重にリストアします。
- データの正常性を検証後、侵入の原因となった脆弱性の修正やパスワード変更などの再発防止策を講じてから業務を再開します。
復旧後の原因究明とActive Directoryの健全性確認
システムの復旧後、最も重要なのは再発防止策を講じることです。そのためには、攻撃の根本原因を究明する必要があります。特に、企業のID基盤であるActive Directory(AD)が侵害されていないか、入念に確認することが不可欠です。
- 不審な特権アカウントが作成されていないか
- グループポリシー(GPO)が不正に変更されていないか
- 管理者権限を持つグループに意図しないアカウントが追加されていないか
- 認証情報を窃取されるような不正な設定変更がされていないか
ADの健全性を確保できない場合、攻撃者に再び侵入されるリスクが残るため、厳格な監査と監視強化が求められます。
よくある質問
Microsoft Defenderだけで対策は十分?
Microsoft Defenderは非常に強力な防御ツールですが、単体での対策は十分ではありません。巧妙な攻撃はあらゆる防御をすり抜ける可能性があり、「多層防御」の考え方が不可欠です。Defenderによるエンドポイント保護に加え、安全なデータバックアップ、従業員へのセキュリティ教育、統合的なログ監視などを組み合わせた総合的な対策を構築することが重要です。
M365のデータは別途バックアップが必要?
Microsoft 365にはバージョン管理などのデータ保護機能がありますが、これらはランサムウェア対策として万全ではありません。例えば、管理者アカウントが乗っ取られて意図的に大量のデータが削除された場合、復旧が困難になる可能性があります。そのため、クラウド環境とは完全に切り離された安全な場所に、サードパーティ製のツールを用いて定期的に外部バックアップを取得することが強く推奨されます。
OneDriveのファイル復元はいつまで可能?
OneDriveの「ファイル復元」機能でデータを過去の状態に戻せる期間は、標準で過去30日間です。この期間内であれば、指定した日時の状態にドライブ全体を復元できます。感染から長期間が経過すると復元できなくなるため、迅速なインシデント検知が重要です。
「ランサムウェアの防止」が見つからない時は?
Windowsセキュリティの設定画面で「ランサムウェアの防止(コントロールされたフォルダーアクセス)」の項目が見つからない、または変更できない場合、以下の原因が考えられます。
- サードパーティ製のウイルス対策ソフトがインストールされており、Defenderの機能が自動的に無効になっている。
- 企業や組織のポリシー(グループポリシー)によって、設定の変更が管理者によって制限されている。
まとめ:マイクロソフト製品で実現する多層的なランサムウェア対策
本記事では、マイクロソフト製品を活用したランサムウェア対策を「予防」「検知」「対応」の3段階で解説しました。Windows標準機能の強化から、Microsoft 365によるデータ保護、Defender for Endpoint (EDR)やSentinel (SIEM)といった高度なソリューションまで、多層的な防御を構築することが極めて重要です。単一の対策に依存するのではなく、自社のリスク許容度やシステム環境に応じて、これらの機能を組み合わせることが効果的な防御体制の鍵となります。まずはDefenderの設定や多要素認証(MFA)の導入状況、SharePoint・OneDriveの復元機能など、すぐに着手できる項目から自社のセキュリティ体制を見直してみてください。特にActive Directoryの健全性確認や、ネットワークから隔離された安全なバックアップ体制の構築は、インシデント発生時の被害を最小限に抑えるために不可欠です。ここで解説した内容は一般的な対策であり、具体的な実装やインシデント対応については、必ず自社の状況に合わせて検討し、必要に応じてセキュリティ専門家へ相談してください。

