前回までは、標的型攻撃を受けないためのパソコンの設定になりますが、
今回は、それでも攻撃を受けてしまった場合に、被害を小さくするための対策になります。
そもそも標的型攻撃は
①侵入活動
→メールやウェブ経由でマルウェアに感染させる
②侵入した端末で情報の収集
③他の端末でマルウェアをコピー
④サーバ等に侵入しデータの搾取→
のような流れで攻撃を行います。(ざっくりですが、、、)
前回までの対策は主に①を防ぐためですね。
で、今回は「③ 他の端末でマルウェアをコピー」 の対策です。
この「他の端末でマルウェアをコピー」の活動は主に、Windowsのファイル共有サービスを利用する
と言われています。
この時
・パソコン間でadministrator権限のID・パスワードが共通
・パソコンのファイル共有が利用可能
の条件がそろうとあっという間に③が成功してしまう らしいです。
なので対策としては
1)パソコン間のローカル管理アカウントを個別に設定する。
2)パソコン間でのファイル共有を禁止(共有はファイルサーバのみとする)
→ファイル共有の受信方向のみ停止
1)はパソコンの台数が多ければ多いほど、大変(全PCのパスワードの管理とか・・・)なので、力技で頑張るしかないですが。。。
2)については、以下のような方法で可能かと思われます。
◆パソコン間でのファイル共有を禁止(ファイル共有の受信方向のみ停止)する方法
●方法その1 パーソナルファイアウォールで止める。
Windowsファイアウォールや、ウィルス対策ソフト内のファイアウォールの機能で
ローカルポート UDP(137、138)、TCP(139、445)
宛ての通信を止めればよいです。
Windowsファイアウォールだと、(AD環境でなければ)、1台ずつ設定が必要ですが
ウィルス対策ソフトを集中管理している環境であれば、一括で設定可能かと思います。
●方法その2 ファイル共有を停止する。
そもそもパソコン側でファイル共有(受信)を止めてしまうという方法です。
この方法自体もいろいろ設定の仕方がありますが、一番手っ取り早いのが、ネットワークのインターフェイス上で
ファイル共有を止めてしまうことです。
コントロールパネル→ネットワークと共有センター→アダプターの設定の変更
から、自身が使っているインターフェイス(有線だと「ローカルエリア接続」が多いでしょうか)
のプロパティを開き
「Microsoftネットワーク用ファイルとプリンタの共有」
のチェックを外します。
※参考(ちょっと古いですが):ファイルとプリンタの共有を無効にしてセキュリティを強化する
https://support.microsoft.com/ja-jp/kb/199346
その1その2を組み合わせれば、2)の対策としては概ね大丈夫だとだと思います。
※この2つの方法だとWindowsの「管理共有」が動いているままになるので、念のため「管理共有」止めておいたほうがより良いかもしれません。レジストリ弄る or バッチ走らすなど ちょっと手間がかかりますが。。。。
参考:Windowsのデフォルト共有を停止させる(管理共有を無効化する)
http://www.atmarkit.co.jp/ait/articles/0304/26/news003.html
