1

Windows 10 Creators Update による次世

代型のランサムウェア対策 ランサムウェアは、今日、最も広範囲に見られる、安全と生産性を脅かすデジタル上の脅威です。自宅でコンピ

ューターを使用しているユーザーが日々のインターネット上の活動ができなくなったり、ランサムウェアへの感

染により企業の事業運営が停止してしまうなど、世界中のすべてのコンピューター ユーザーが、その影響を受け

ています。

世間の注目を集めた複数のインシデントにより、ラ

ンサムウェアが重要な公的および民間サービスに壊

滅的な影響を与え得ることが示されました。全世界

の病院、輸送システム、およびその他のハイテクな

施設が影響を受けました。ランサムウェアはコンピ

ューター、ネットワーク、およびインフラストラク

チャを継続的に攻撃するという、サイバー脅威の規

模の広さと複雑性を実証しています。従来のシグネチャベースのソリューションでは、このように複雑で高度

な攻撃に対応することができません。

マイクロソフトでは、「地球上のすべての個人とすべての組織が、より多くのことを達成できるようにする」と

いうミッションの下、ランサムウェアのような脅威から顧客保護を向上させるための努力を続けています。私

たちはセキュリティを念頭に置いて製品およびサービスを作ることにより、これを実現します。

Windows 10 に組み込まれているセキュリティ機

能は、マイクロソフトの、セキュリティに対する

次世代型の予測的アプローチを反映しています。

マルウェア対策の進化の中核となるテクノロジを

使い、開発し、お客様が今日直面している脅威、

また将来出現する可能性のある脅威からも保護し

ます。

私たちは、過去に確認されたことのないマルウェ

アを初見でブロックすることにより、攻撃を完全

に止める機能を継続的に改善していきます。攻撃に対するリアルタイム保護を提供するために、膨大なセンサー

を持つネットワークから収集するクラウドおよび脅威インテリジェンスを活用します。Windows Defender ウ

イルス対策 (Windows Defender AV) がブロックしたすべてのマルウェアのうち、99.992% が、エキスパート

による脅威研究が先導する、機械学習および行動分析によって検出されブロックされました。

このホワイトペーパーでは、お客様をランサムウェアから守る Windows 10 Creators Update の包括的な次世

代型の保護コンポーネントの概要を紹介します。

2017 年の世界規模のランサムウェア感染

従来のシグネチャベースのソリューションでは、高度な攻

撃に立ち向かうことはできません。マイクロソフトのセ

キュリティに対する次世代型の予測的アプローチは、

Windows 10 に組み込まれたセキュリティ機能に反映さ

れています。

2

2017 年のランサムウェア: 高度化およびリーチ数の増加 ここ数年の間、ランサムウェアはサイバー犯罪者にとって最も利益の上がる収入源として、急速に変貌を遂げま

した。報告書では、ランサムウェアのオペレーターは被害者が支払った身代金により 2016 年の 1 年で 10 億米

国ドルを稼いだと見積もられています。

お金を違法に強要するランサムウェアのローリスク ハイリターンな手法は、以下に挙げる犯罪者の技量によって実

現されています。

▪ 複数のコマンドアンドコントロール (C&C) サーバーの後ろに隠れる

▪ ビットコインのような暗号通貨を使って、ほぼトレースが不可能なトランザクションを実行する

最新のバージョンのランサムウェアをアンダーグラウンド市場で提供するサイバー犯罪のビジネス モデルである

Ransomware-as-a-service (サービスとしてのランサムウェア、RaaS) は、ランサムウェアおよび関連するダ

ウンローダー型のトロイの木馬の大部分を占め、2016 年 8 月にピークを迎えました。2016 年の終わりに向け

て減少傾向が見えましたが、2017 年 2 月にランサムウェアの数は再び増え始めました。

ランサムウェアおよびダウンローダー型のランサムウェアの遭遇数

Cerber や Locky のように、確立されたランサムウェアの処理では、RaaS を使用して新しいランサムウェアの亜種

をリリースし、配布や機能、回避に関して進化を続けています。

2017 年になって、Spora や WannaCrypt (WannaCry としても知られる) のような、拡散機能およびエクスプロイ

トの利用など、さらに複雑な動きをする新しいランサムウェア ファミリが出現しました。1 月に表面化した Spora は、

現在、最も蔓延しているランサムウェア ファミリの 1 つです。

-

500,000

1,000,000

1,500,000

2,000,000

2,500,000

-

100,000

200,000

300,000

400,000

500,000

Jul Aug Sep Oct Nov Dec Jan Feb Mar Apr

ランサムウェア ダウンロード型のランサムウェア

3

また、ランサムウェア オペレーターが、標的のコンピューター上にランサムウェアをインストールする方法を拡

張させていることも観測されました。

- ブラウザー - これまでランサムウェア オペレーターは、ブラウザーの脆弱性を悪用して脆弱なコンピュ

ーターにマルウェアをダウンロードするというエクスプロイト キットを主に使っていました。しかし、

コンピューターにランサムウェアをインストールするためのドライブバイ ダウンロードの使用数は大幅

に減少しています。

- 電子メール - 電子メールは、引き続き主要な配布チャネルです。ランサムウェア ペイロードをインスト

ールするダウンロード型のトロイの木馬が添付された電子メールは、ソーシャル エンジニアリングの手

法で使われます。残念なことに、電子メールによる配布はマルウェアのキャンペーンにおいて引き続き

効果があります。Verizon による 2016 年のデータ漏えいに関する調査レポートでは、攻撃者が 1 つの

会社の 100 名に電子メールを送ると、30 名が電子メールを開き、12 名が添付ファイルを開くかリン

クをクリックすることを示しています。

- ネットワーク - ネットワークよる伝搬は、ランサムウェアの行動としては一般的ではありません。しか

し、Spora のような新しいランサムウェア ファミリは、マップ済みのネットワーク ドライブやリムー

バブル ドライブを介して蔓延する能力があります。また、リモート デスクトップ サービス (RDP) の

ブルート フォース攻撃を使って標的のコンピューターにランサムウェアをインストールする、新しいラ

ンサムウェア キャンペーンも観測されています。2017 年には、あるランサムウェア ファミリがエク

スプロイトの悪用に成功し、伝搬していることを確認しています。WannaCrypt は、以前修正されたサ

ーバー メッセージ ブロック (SMB) の脆弱性を悪用し、最新の状態に保たれていないマシンに短時間で

すばやく感染しました。WannaCrypt はエクスプロイトを悪用することでクリティカル マスを達成し、

多くの最新状態ではないコンピューターに影響を与えました。

アクティブなサイバー犯罪者のオペレーションは、ランサムウェアの脅威が進化し続けていることを示していま

す。キャンペーンは気づかれないように数時間のみ実施され、何人かの被害者が身代金を支払うのに十分な時間

で終了します。さらに、ランサムウェアの脅威は多様性が増し、ウイルス対策ソフトウェアによる静的および動

的な検出をバイパスする独創的な方法を次々に繰り出します。ランサムウェアの規模および複雑性と戦うために

2016 年 2H の上位のランサムウェア ファミリ 2017 年 1H の上位のランサムウェア ファミリ

4

は、多層的な防御戦略が必要です。マイクロソフトは、Windows Defender ウイルス対策のような次世代型の

ソリューションによって、ランサムウェアに対する包括的な防御スタックを提供することに尽力しています。

5

WannaCrypt に対する Windows 10 の防御策

WannaCrypt (WannaCry としても知られる) の新しい亜種がランサムウェアとしては今まで見たことのないよ

うな速さで感染を広げた 5 月上旬、お客様のセキュリティに対する姿勢とセキュリティ業界の対応能力が試され

ました。

ワームに似た感染能力は、その 2 か月前に修正された SMB の脆

弱性を悪用することで実現されました。残念なことに、世界中の

多くのコンピューターが最新の状態ではなく、このランサムウェ

ア攻撃の被害に遭いました。

Windows 10 を使用しているお客様は、WannaCrypt 攻撃の影

響をまったく受けませんでした。ランサムウェアが悪用したエク

スプロイトは、修正を適用していない Windows 7 および Windows Server 2008 に対してのみ作用するよ

う意図したものでした。しかし、より重要なこととしては、Windows 10 には WannaCrypt に対抗できるセ

キュリティ テクノロジが組み込まれているということです。

多くのコンピューターでセキュリティ更新プログラムが自動的に適用されている一方で、修正プログラムの展開

時期を遅らせるユーザーや企業も存在します。Windows 7 および Windows Server 2008 のような古いバージ

ョンの Windows で、MS17-010 のセキュリティ修正を適用していなかったものの、Microsoft Security

Essentials または Windows Defender ウイルス対策でクラウド保護を有効にしていたコンピューターでは、

WannaCrypt の実行は阻止されました。しかし、これらの古いバージョンには、脅威から効果的に守るために

Windows 10 を使用しているお客様は、

WannaCrypt 攻撃の影響をまったく受けま

せんでした。

6

Windows 10 で提供されているようなレベルのエクスプロイトに対するセキュリティ強化およびプラットフォー

ム機能 (たとえば Device Guard、即時のクラウド保護など) がありません。最新の Windows のバージョンに

アップグレードし、コンピューターを最新の状態に保つことが最良の防御方法です。

7

マイクロソフトが提供する保護策

マイクロソフトのセキュリティの優位性

Windows Defender ウイルス対策は、クラウドを活用した機械学習インフラストラクチャと比類のない規模の

セキュリティ インテリジェンスを使って、リアルタイムに脅威から保護します。マイクロソフトでは、何十億も

のダウンロード、Web ページ、電子メール、およびエンドポイントを追跡し監視することが可能です。これら

のセンサーから送られてくるインテリジェンスとセキュリティ研究者の鋭敏な洞察を関連付けることで、独自の

幅広い視点から現実世界の脅威を観察することができます。

巨大なサービス網、検索エンジン、および Windows デバイスからのシグナルは、Microsoft Intelligent

Security Graph を強化します。Intelligent Security Graph は、Windows Defender ウイルス対策が、過去に

確認されたことのないマルウェアをすばやく検出することを可能にしています。

8

Windows 10 Creators Update: 徹底したセキュリティ対策

Windows 10 Creators Update では、Windows 10 Anniversary Update をベースに築いた広範囲の保護コン

ポーネントを提供しました。これらのセキュリティ技術は連携して、既知および新規のランサムウェア攻撃に対

するエンド ツー エンドの防御を提供します。新しい機能や継続的な投資は、攻撃面をさらに減らし、お客様が

侵入攻撃に対して防止、検出、および対応できるようにすることを目的としています。

Windows 10 Creators Update では、Windows Defender セキュリティ センターを導入しました。Windows

Defender セキュリティ センターは、お客様が最も重要なセキュリティ設定に 1 か所からアクセスすることを可

能とする、単一のダッシュボードです。

Windows Defender ウイルス対策: これまで確認されたことのないマルウェアに対す

る即時のクラウド保護

Windows 10 に組み込まれている Windows Defender ウイルス対策は、クライアントベースの機械学習モデル、

行動分析、およびジェネリックとヒューリスティックベースの検出を使って、ほとんどのランサムウェアとその

他のマルウェア ファイルを初見で自動的にブロックします。

クラウド保護サービスからのインテリジェンスを使って、疑わしいファイルの本質を確認します。新しく未知の

脅威は、クラウドベースの機械学習、ディープ ニューラル ネットワーク、あいまい一致、およびその他の高度

なオートメーション テクノロジを活用して、即時にブロックされます。

Windows 10 Creators Update では、Windows Defender ウイルス対策が疑わしいファイルの実行を停止させ、

クラウド保護サービスと同期してそのファイルをさらに検査します。ファイルはクラウド エンジンに送られ、そ

こで制御されたデトネーション チャンバーを通して静的および動的な分析を使って評価されます。

9

Windows Defender ウイルス対策のクラウド保護は、新しいファイルが悪意のあるものかどうかを数秒以内に

判定することができます。この情報は、今後の参照のためにクラウド エンジンに保存されます。数分のうちに、

この情報は機械学習の分類子とクラスタリングに追加され、Microsoft Intelligent Security Graph からのシグ

ナルと関連付けられます。その後、Windows Defender ウイルス対策は同様あるいは似たような悪意のあるフ

ァイルに遭遇する可能性のあるお客様を保護することができるようになります。

Device Guard: 仮想化ベースのロックダウン セキュリティ

Windows 10 に導入された Device Guard は、仮想

化ベースのセキュリティとコード整合性ポリシーを

使ったアプリケーションの実行制御を組み合わせた

機能です。ランサムウェアのような脅威の実行を防

止し、たとえデバイスに到達したとしてもその影響

を制限することで、デバイスの保護に役立ちます。

Device Guard は、企業が承認したアプリのみ実行を

許可します。コード整合性ポリシーはアプリケーシ

ョンの制御にも活用され、特定のプラグイン、アド

イン、およびモジュールが特定のアプリ (基幹業務ア

プリケーションやブラウザーなど) から実行可能かど

うかをコントロールすることができます。これによ

って、マルウェアが目的を隠蔽するために自身をク

リーンなプロセスに埋め込む攻撃面が減ります。詳

細については、「Device Guard の概要: 仮想化ベー

スのセキュリティとコードの整合性ポリシー」を参照してください。

10

Microsoft Edge: Web からの脅威に対して強化されたブラウザー保護

Microsoft Edge ブラウザーでは、HTML5 をサポートする

サイトでのクリーンな HTML5 エクスペリエンスが既定で

設定されます。Windows 10 Creators Update の

Microsoft Edge では、サイトが Flash に依存している場合、

ユーザーは Flash の実行を許可するかどうかを決めること

ができます。これにより、Adobe ソフトウェアに存在する

脆弱性を悪用する無効な形式の Flash オブジェクトを利用

して自動的に起動するランサムウェアの感染を止めること

ができます。このように、Microsoft Edge はユーザーが実

行したい Flash コンテンツのみを選択できるようにするこ

とで、攻撃面を制限します。

Microsoft Edge は、より強いフィッシング対策保護および悪意のある偽の Web サイトへの防御機能を持つ、た

いへん安全性の高いプラットフォームとして設計されています。すべての Web ページをアプリ コンテナー サ

ンドボックス内で開き、ダウンロードには評価ベースのブロックを使うことで、システムが悪意のある Web コ

ンテンツに影響を受けないようにします。サイバーセキュリティ製品の研究機関である NSS Labs は、ソーシャ

ルエンジニアリング型マルウェアに対して Google Chrome、Microsoft Edge、および Mozilla Firefox を検証

し、Web ブラウザーのセキュリティ比較レポートを先日公開しました。このレポートの目的は、お客様にとっ

て重要となる主要な領域における保護策を判定することであり、ソーシャルエンジニアリング型マルウェアをブ

ロックした数と速さも含まれています。

注: Firefox、Microsoft Edge、および Chrome におけるソーシャルエンジニアリング型マルウェア (SEM) の URL 応答のヒストグラム。出典:

‘Web Browser Security Comparative Report'、NSS Labs。

これらのテストでは、Microsoft Edge が最も広範囲なゼロアワー保護を提供し、最初の 1 時間でマルウェアの

98.7% をブロックしました。Microsoft Edge のブロック率は、Google Chrome よりも 3.6%、Mozilla

Firefox よりも 17.4% 高いという結果が出ました。

11

スクリプトベース攻撃の検出性能の向上

多くのランサムウェア感染は、JS および VBS スクリプトベースのマルウェアから開始されます。これら悪意の

あるスクリプトは、難読化テクニックを用いて特徴的なデータを隠し、ポリモーフィック型へ変化しようとしま

す。そのテクニックはさらに進化して、悪意のあるコードはコマンド アンド コントロール サーバーからのペイ

ロードを介して動的に構築され、結果的にマルウェアはディスクに保存されることはありません。

過去 2 年間、そのような悪意のあるスクリプトベースのマルウェアが急増しました。マイクロソフトでは、マル

ウェアを理解し効果的なチョーク ポイントを特定するために、このようなマルウェアを数千個調査しました。そ

の結果、Windows 10 Creators Update では、JS や VBS スクリプト ランタイムの戦略的な実行ポイントにお

ける Antimalware Scan Interface (AMSI) の呼び出しを可能にするために、オペレーティング システムの一部

としてコード インストルメンテーションを追加しました。これにより、登録された AMSI プロバイダが AMSI

を介してコンテンツの検査を行い、悪意のあるコードを特定し検出することを可能にします。これは、悪意のあ

るコードをマスクするためにマルウェアが使用する難読化メソッドを効果的にバイパスします。Windows

Defender ウイルス対策は、悪意のあるスクリプト ファイルによるランサムウェアのペイロードのダウンロード

と実行を検出するために、この新しい AMSI 機能を使用します。

高速な修復のための行動分析の強化

マイクロソフトは、ランサムウェア感染を修復し、ランサムウェアの活動を分単位から秒単位に制限し、暗号化

されるファイルの数を数百から数個まで減らすために、多額の投資を実施しました。この目的を達成する方法の

1 つは、Windows Defender ウイルス対策の行動エンジンを改善することです。行動分析は、静的な特徴から

ではなく、ファイルがシステムとやりとりする方法に基づいて脅威を特定することで、さらなる保護策を提供し

ます。行動分析は、マルウェア作成者がファイルベースのウイルス対策検出を回避するために使う難読化ツール

およびコードの保護機能 (パッカー) に対して強い効力を発揮します。

モダンな脅威は、攻撃を複数の段階に分け、行動アクションをシステムで実行されている複数の安全なプロセス

に分離することで行動検出を回避しようと試みます。ウイルス対策ソリューションに、これらの攻撃の段階やプ

ロセスを横断的に追跡し統合することができる行動検出エンジンが備わっていない限り、バイパスされる可能性

があります。Windows 10 Creators Update の Windows Defender ウイルス対策では、プロセスや段階を横断

してマルウェアの行動を統合することができます。Windows Defender ウイルス対策は、複数のベクターでア

クティビティを追跡することで、これらの複数段階の脅威に働きかけるだけでなく、他の攻撃で使用されている

同様のコンポーネントを特定しブロックするための有益なインテリジェンスを提供します。さらに、Windows

Defender ウイルス対策は、プロセスがシステムとどのようにやりとりするかを記録し、その後のクラウド モデ

ルによる異常な行動の検出を可能にします。通常運用中にシステム イベントの記録を取ることはフライト デー

タ レコーダーにたとえられ、イベントのシーケンスの再構成を可能にします。

12

Wow64 互換性スキャン

Windows 10 Creators Update では、Windows Defender ウイルス対策に、Wow64 互換性レイヤーを使用す

るプロセスのスキャン機能が追加されました。これにより、64 ビットのオペレーティング システム上で実行さ

れている 32 ビット アプリケーションのシステム相互作用を、よりよく調査することができるようになりました。

Windows Defender ウイルス対策は、パフォーマンスとユーザー エクスペリエンスを損なうことなく、重要な

システム相互作用のプロセス調査を深く、かつ動的に可能にするために、さまざまなシステム コンテキストおよ

びクラウド インテリジェンスを活用します。これによって、Windows Defender ウイルス対策は、ポリモーフ

ィック型マルウェアを実行時に検出し除外することができます。

Windows Defender Advanced Threat Protection: 侵入後の検出、充実した調査、

および対応

Windows 10 Creators Update では、Windows Defender ATP のランサムウェア感染プロセスに関する行動お

よび機械学習検出ライブラリの機能を強化しました。この強化の目的は、できる限り早く最初に感染したコンピ

ューターを特定することです。プロセス ツリーの可視化およびアーティファクト検索機能は、複数の検出や関連

イベントを単一のビューに統合し、問題を解決する時間を短縮し、関連するランサムウェアの活動をすばやく指

摘します。

セキュリティ運用部門は、ファイル名やハッシュ、IP アドレスや URL、動作、コンピューター、そしてユーザ

ーなど、攻撃の証拠を特定することができます。オフライン、再イメージ化、あるいはすでに存在しないコンピ

ューターさえも、対象としている組織のクラウド インベントリを 6 か月までさかのぼって検索することで、直

ちに証拠を探すことが可能です。

コンピューターの分離、ファイルの除去、およびプロセスの検疫に関する機能向上は、その後に起こる感染に対

するより速い対応と広範囲な保護を可能にします。Windows Defender ATP を使うことで、エンタープライズ

のお客様は新しいランサムウェアの発生をすばやく特定したり、攻撃の範囲を調査したり、マルウェア展開キャ

ンペーンに早期に対応したりする準備を十分に整えることができます。Windows Defender ATP ランサムウェ

ア プレイブックで説明されているとおり、これらのアクションは攻撃を封じ込め、組織に対する幅広い影響を阻

止することができます。

Windows 10 S: マイクロソフト検証済みのセキュリティ

Windows 10 S はセキュリティとパフォーマンスに特化して合理化されており、Windows ストアから提供され

るアプリのみが動作します。Windows ストアの配布準備、審査、および署名プロセスを介さないアプリは動作

しません。検証済みアプリの実行のみを許可することで、Windows 10 S はマルウェア、ランサムウェア、およ

び同様の攻撃からデバイスを保護します。

13

Windows 10: ランサムウェアに対する次世代型の防御 Windows 10 は最も安全なプラットフォームとして開発され、今後も高度な攻撃に対してセキュリティを強化し

続けます。Windows 10 Creators Update は、最新のマルウェアおよびランサムウェアの脅威から防御するた

めの次世代型のエンドポイント保護ソリューションを提供する新しい保護機能を統合します。これらの機能は、

次のことを実現します。

• 保護 - 悪意のあるドキュメントやスクリプト ファイル、更新されたエクスプロイトの緩和策に対するプラッ

トフォームおよびサービス (ブラウザー、電子メールなど) のセキュリティを強化し、ランサムウェアがデ

バイスへ到達することを防ぎます。

• 検出 - ランサムウェアを検出し、直ちに停止させます。行動異常、コンテキストを意識したスクリプトベー

ス攻撃の検出、迅速な保護のための統合的な情報共有、および高度なクラウド保護テクノロジを対象とした

深い機械学習モデルを活用する Windows Defender ウイルス対策を使用して、感染を制限します。

• 対応 - ランサムウェア感染の範囲の調査と把握、および対応オプションの提供に重要な役割を果たす

Windows Defender ATP のアラートを介して、ランサムウェアに対応します。

Windows 10 の次世代型テクノロジは、コンピューターおよびネットワークをランサムウェア攻撃から保護する

ための包括的な防御スタックを提供します。

14

関連情報 進化したウイルス対策

Protecting against ransomware (Webinar) (英語情報)

WannaCrypt ransomware worm targets out-of-date systems (英語情報)

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

Ransomware: a declining nuisance or an evolving menace? (英語情報)

Averting ransomware epidemics in corporate networks with Windows Defender ATP (英語情報)

Windows Defender Advanced Threat Protection - Ransomware response playbook (英語情報)

ランサムウェアに関する Windows セキュリティのブログ (Microsoft Malware Protection Center) (英語情報)

Windows Security Intelligence Web サイトのランサムウェアに関する FAQ (英語情報)

15

共同作成者

Eric Douglas

Security Research Team

Tanmay Ganacharya

Security Research Team

Karthik Selvaraj

Security Research Team

Elia Florio

Security Research Team

Holly Stewart

Security Research Team

Ram Gowrishankar

Security Research Team

Tim Kerk

Security Research Team

Brian Lich

Content Publishing Team

Daniel Simpson

Content Publishing Team

Dolcita Montemayor

Content Publishing Team

Eric Avena

Content Publishing Team

Justin Hall

Content Publishing Team

Sue Hotelling

Enterprise & Security Team

Debraj Ghosh

O365 Security Team

Heike Ritter

Product Marketing Team

Jason Conradt

Security Engineering Team

Matt Miller

Security Engineering Team

Randy Treit

Security Engineering Team

Scott Anderson

Security Research Team

Tommy Blizard

Windows Defender ATP Team

© 2017 Microsoft Corporation. All rights reserved.