はじめに
以前の投稿でBoxはランサムウェア対策として活用できる点をご紹介しました。
クライアント端末がランサムウェア感染し、その端末がBoxDriveを使用していた場合、BoxDriveからアクセスできるコンテンツについては暗号化や窃取のリスクが存在しています。
暗号化に対してはBoxのバージョン管理から復旧することで復元可能であることを上記の記事でもご紹介しましたので、本記事ではBoxShieldを利用したファイル窃取への対策をご紹介したいと思います。
ファイル窃取に対抗する理由
ランサムウェアと言えば以前はファイルの暗号化を行い、復元に対して身代金を要求する手法が一般的でしたが、昨今では暗号化に加えてファイル窃取も同時に行い、ファイルをリークサイトで公開されたくなければ身代金を払えと要求する、いわゆる二重脅迫と呼ばれる手法が非常に増加しています。
またノーウェアランサムと呼ばれる、暗号化は行わずファイル窃取による脅迫のみを行う被害も報告されています。
Boxのファイルがランサムウェアに窃取されるとしたら
BoxDriveを使用すると仮想的にドライブにマウントされた状態となり、エクスプローラーライクにBoxのファイルを扱うことができるようになります。
その為ファイルの変更や移動もローカルドライブ同様に操作を行うことができるようになります。
それは通常のオペレーションを行う上では非常に便利な部分ですが、一方でランサムウェアからのファイル変更や移動も行えるようになってしまうことがBoxDriveを利用する上でリスクとなってしまいます。
もし端末がランサムウェアに感染し、ランサムウェアが端末上にマウントされたBoxDriveのファイルを別の場所にアップロードを行った場合はファイル窃取が成立してしまうリスクがあるということになります。
BoxShieldのダウンロード制限でファイル窃取に対抗する
ファイル窃取を行う際、端末上のオペレーションとしてはファイルをどこかのサーバーへアップロードすることになりますが、BoxDriveのファイルを窃取する場合、ファイル実体はBox上に存在するため実際にはBoxからファイルのダウンロードを行った上でファイルをアップロードする必要があります。
この点に着目し、BoxShieldのダウンロード制限機能を使ってファイルの窃取を制限してみたいと思います。
BoxShieldの設定
BoxShieldのアクセスポリシーにてセキュリティコントロールの[ダウンロードと印刷の制限]で[Boxデスクトップ向け]を制限したポリシーを作成します
ポリシー名は今回はわかりやすく[BoxDriveからダウンロード不可]とします。
適用する分類ラベルは事前に作成しておいた「ランサムウェア対策」に適用します。
ファイルに作成した分類ラベルを適用します。
ファイル窃取検証
BoxDriveから先ほどのファイルを別サーバーへアップロードした場合、ダウンロードが制限されていることから操作はエラーとなり、ファイル窃取は失敗となりました。
最後に
BoxShieldのダウンロード制限を活用してランサムウェアのファイル窃取への対応策をご紹介しました。
注意点としてこのポリシーを適用するとBoxDriveを利用している正規のユーザーによるダウンロードも制限されるため、BoxWebアプリの活用を推奨するなど、BoxDriveの利用範囲を事前に定義しておくことを推奨いたします。
上記のような制限ははありますがBoxShieldによるファイル窃取対策をご紹介いたしました。
ランサムウェア対策の一環としてご検討いただけますと幸いです。