WannaCryの世界的な流行と対策

■ WannaCryの世界的な流行と対策

5月12日(金)に、「WannaCry」(別名WannaCryptor、Wcrypt、およびWannaCrypt)と呼ばれる大規模なランサムウェア攻撃により、UK国民健康保険(NHS)および、スペインのテレコム会社Telefonicaを含む組織が攻撃に遭いました。

このランサムウェアはファイルを暗号化し、復号化のための金銭をbitcoinで支払うように要求する身代金要求型マルウェアですが、注意すべき重要な点は攻撃がどのように広がるかです。 従来、ランサムウェアは電子メールで配信されていましたが、これはWindowsのネットワーク共有機能を悪用してネットワーク経由で他のPCに感染する自己伝播能力を持っています。Microsoftから修正パッチは提供されていますが、病院、工場、鉄道などではWindows XPやWindows 2003 Serverなどすでにサポートを修正しているOSをいまだ継続して使用しているケースも多く存在しているため、そのような環境で被害が多発しているようです。

下図はCYREN社提供の世界におけるWannaCrypt感染1日目の状況です。日本でも感染が確認されています。あるwebサイトへアクセスすることでランサムウェアを停止できる”キルスイッチ”機能を持つものが確認されていますが、この機能を持たない亜種もすでに確認されています。

 

WannaCrypt 感染状況1日目

 

■ WannaCryの世界的な流行と対策

WannaCryに感染すると、以下の画面により、ファイルを復元するための身代金$300をBitcoinで支払えというような脅迫メッセージが表示されます。(メッセージ表示は日本語も選べるようになっています)しかも、身代金が値上げされるまでの時間や、ファイルが失われるまでの時間がカウントダウンされています。突然、このようなメッセージが表示されファイルが開かなくなったら誰でも焦ってしまうでしょう。

しかし、「$300で元に戻せるなら・・・」などと考え、身代金を払ってはいけません!比較的少額の身代金を設定して世界中から広く金銭を不正取得することが目的ですから、ファイルが元に戻ると考えないことが賢明です。1つ1つの支払いに丁寧に対応してファイル復旧してくれる犯罪者などいないのです。

WannaCrypt支払い要求画面

 

■  WannaCry対策 (2017年5月15日 Cyren社ニュースリリースの抄訳)

Windows修正パッチを適用する

MS17-010 セキュリティアップデートがすべてのWindows端末にインストールされていることを確認してください。
これはMicrosoft Windows SMB Serverのためのセキュリティアップデートです(4013389)

これは、マイクロソフトがサポートを終了した古いシステムにも適用できます。

この特定の攻撃に対して、MicrosoftはWindows XP、8、およびServer 2003用のパッチを発行しています。

【参照ページ】

https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

 
SMBv1を無効にする

以下のリンクを参照し、SMBv1をすべてのWindowsシステムで無効にしてください。

【参照ページ】

https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

 

ファイアウォールからファイルサーバーへのアクセスを遮断することを検討する

2017年1月、米国CERTは、Shadow Brokersハッキンググループによる米国国家安全保障局(US National Security Agency)から盗まれたEternal Blue攻撃のリリースに伴い、以下のステップを推奨しました。

https://www.theregister.co.uk/2017/01/18/uscert_warns_admins_to_kill_smb_after_shadow_brokers_dump/

 

Eメールゲートウェイとwebセキュリティシステムを利用する

すべての電子メールおよびWebセキュリティソリューションが最新であることを確認します。
悪意のある電子メールとマルウェアのC&Cサーバへの通信をブロックすることができます。

 

不審な添付ファイルを含む電子メールに注意する

不明な送信者からの電子メールなど、Officeドキュメント、PDFおよびJavaScript、
またはその他の不審な添付ファイルが含まれていないかよく確認してください。
回避型マルウェアとゼロデイ脅威を識別するためにサンドボックスサービスを使用することを検討してください。