お知らせ「コワークストレージ」におけるランサムウェア対策機能の提供開始

2023年7月14日
東日本電信電話株式会社

日頃より「コワークストレージ」をご利用いただき、誠にありがとうございます。

昨今、企業へのランサムウェア被害が拡大される中、管理者による難しい設定や高度な専門知識なしでランサムウェア対策が可能となる機能(以下、ランサムウェア対策機能)を2023年7月27日より提供いたします。
ランサムウェア対策機能では、コワークストレージ内におけるランサムウェアの検知・予防が可能です。また、万が一被害があった際にも該当のファイルだけを特定し復旧させることができます。難しい設定や追加コストも不要なため、安心してお客様のセキュリティ対策にご活用ください。

ランサムウェア対策機能の事前設定方法やランサムウェア検知時の画面イメージは下記の通りです。是非、ランサムウェア対策機能をご活用いただき、お客さまの大切なデータを更にセキュアに管理しましょう。

【主な機能の特徴】

・不審なファイル操作を自動検知

ランサムウェアの疑いがあるプロセスによる、コワークストレージ内のファイルの「削除・変更・暗号化」といった更新操作を、コワークストレージDriveが自動検知します。お客さまは、コワークストレージDrive上のアラートメッセージや、管理者へのアラート通知メールを受け取り、迅速に初動対処を開始することが可能です。なお、検知したプロセスによって更新されたファイルはクラウドへ自動同期されず、コワークストレージに保存されている他のファイルへの影響はありません。

・検知したプロセスの遮断と影響範囲の拡大を予防

コワークストレージDriveにて検知したプロセスの情報は、組織内のすべてのコワークストレージDriveに自動的に伝播(伝達)されます。これにより、検知したコワークストレージDriveだけでなく組織内のすべてのコワークストレージDriveに対し、対象のプロセスによるコワークストレージ内のファイルに対するアクセスを遮断し、コワークストレージ内におけるランサムウェアの横展開と被害拡大を迅速に予防します。

  • クラウドストレージ上のファイルがランサムウェアによる被害が拡大するのを阻止する機能であり、クライアントPCの感染を防ぐものではないため、ご注意ください。

・本格的なランサムウェアのインシデント管理

コワークストレージDriveで検知されたプロセスは、自動的にインシデント(脅威となりうる事象)として管理画面に登録されます。ひと目でインシデントの状態が把握でき、管理者による確認作業を省力化します。

・被害を受けたファイル一覧の自動生成

検知したプロセスによる被害を受けたファイルは、一覧化してCSV形式でダウンロードすることが可能です。ランサムウェアによるコワークストレージ内の被害範囲を即座に確認し、特定することで、迅速な初動対応に貢献します。

・ワンクリックで自動復旧

コワークストレージでは、検知したプロセスによるファイル更新時もバージョンファイルが作成・保存されています。インシデント管理画面で確認した被害ファイルを直前のバージョンファイルで上書きすることで、被害前の状態に戻すことが可能です。

【提供方法/提供ユーザ】

コワークストレージ Driveをお使いの「全てのユーザ」

【事前設定】

・管理者

①管理コンソールの「ポリシー設定」より「インシデント管理ポリシー」を有効に設定。

  • 本機能提供時は無効になっていますので、ご利用の場合は有効に変更してください。
(画面イメージ)
img_01

②管理コンソールに「インシデント管理」機能と「Driveアクティビティ」が表示されましたら設定は完了になります。

(画面イメージ)
img_02

・利用者

本機能提供時にあわせてコワークストレージDrive(バージョン1.0.20116)をリリースします。
以下の手順で、最新のバージョンにアップデートしてください。

  • ランサムウェア対策機能のご利用には、上記「インシデント管理ポリシー」の有効化と共に、コワークストレージDriveをバージョン1.0.20116以降にアップデートする必要があります。

①コワークストレージDriveにログインするとアップデート通知画面が表示されます。「今すぐ更新」をクリックします。

img_03

②アップデート確認ダイアログが表示されます。「OK」をクリックします。

img_04

③コワークストレージDriveのアップデートが実行されます。アップデート終了までお待ちください。

img_05

④コワークストレージDriveのアップデート完了後、再起動確認ダイアログが表示されます。「今すぐ再起動」をクリックします。

img_06

⑤再起動後、コワークストレージDriveのアップデートを確認します。プロファイル画面の左下のバージョンが「1.0.20116」であることを確認しましたらコワークストレージDriveのアップデート完了です。

  • タスクトレイのコワークストレージドライブを右クリックし、プロファイルを選択します。
img_07

■ランサムウェア検知時の画面イメージおよび復旧対応の流れ

①ランサムウェア検知時、コワークストレージDriveから利用者あてに以下のようなダイアログが表示されますので、管理者の方に連絡してください。

img_08
  • 利用者本人・全管理者に対しても下記メール通知がされ、この時点で当該ローカルPCの同じプロセスによるコワークストレージDriveの同期が停止します。
img_09

②管理者は、管理コンソール「インシデント管理」機能よりまずインシデント内容の確認をします。

img_10

③つぎに影響範囲の調査を実施します。

CSV形式のファイルで影響を受けたファイル一覧をダウンロードし、影響が出たファイルを確認します。

img_11

④このインシデントに対して管理者にて"悪意のあるプロセスである"か"信頼されたプロセスである"かを判定をします。

img_12
  • 信頼されたプロセスと判定されればそのタイミングで当該プロセスの同期が再開されます。

⑤"悪意のあるプロセス"と判定した場合はファイルを復旧します。

img_13

⑥結果をダウンロードし、復旧したファイルの確認をします。

img_14

⑦最後はインシデントのクローズをし、管理者から利用者に復旧完了を連絡してください。

img_15

■ランサムウェア対策機能をご利用いただく上での注意点は

  • ランサムウェア対策機能を使用するには、前述の「インシデント管理ポリシー」の有効化と共に、コワークストレージ Driveを最新版(1.0.20116以降)にアップデートいただく必要があります。(最新版は機能リリースと合わせて提供いたします。)
  • コワークストレージDriveの最新版を使用しない場合、「インシデント管理ポリシー」を有効にしても、不審なファイル操作の自動検知やDriveアクティビティの収集は行われません。
  • コワークストレージDriveの最新版から、以下ソフトウェアの必要動作環境が変更となります。
    .NET Framework:4.7.2 以上
    • ご使用の端末が必要動作環境を満たさない場合、コワークストレージ Driveの自動更新を有効にしてもアップデート通知は表示されず、また、インストーラーによるインストールもできません。必要に応じて動作環境のアップデートをご検討お願いいたします。
    • 旧版はそのままご使用いただけますが、今後、十分なサポートをご提供できなくなる場合がある為、予めご了承ください。
  • ファイルの自動復旧について、以下のような場合は復旧することはできません。
  • ①保管期間経過後の自動削除等により、復旧可能なバージョンファイルが存在しない場合
    →対象ファイルのバージョンファイルが存在しない場合は復旧できません。

    ②悪意のあるプロセスにより操作されたファイルを、ユーザ操作により上書きした場合
    →復旧可能なバージョンファイルが存在する可能性はありますが、ユーザによる上書き操作が正当な更新かどうかを判別することはできないため、復旧処理をスキップします。

  • ランサムウェア対策機能は100%の検知を保証するものではありません。
  • クラウドストレージ上のファイルがランサムウェアによる被害が拡大するのを阻止する機能であり、クライアントPCの感染を防ぐものではございません。

表示価格は、特に記載がある場合を除きすべて税込です。

ページ上部へ戻る