ランサムウェアの世界的な流行と対策

bullet_orange2 Petyaの亜種による大規模攻撃が発生

5月の「WannaCrypt」と同じく「MS17-010」の脆弱性を悪用するランサムウェア「Petya」の亜種があらたに確認されました。このランサムウェアにより、ウクライナの政府機関や金融機関、インフラ企業などが6月27日に攻撃を受け、大きなニュースになっています。

breaking-down-petya-2 (1)

このPetyaの亜種は一時間以内に感染したコンピュータを再起動するように予約します。 この時、マスターブートレコード(MBR)は暗号化されてユーザ定義のブートローダーに変更されるため、通常のWindowsは起動せず、上の画像のように$300相当のビットコインを要求するメッセージを表示します。

マイクロソフトでは、3月のセキュリティ更新「MS17-010」で脆弱性対策を実施しています。また、サポートが終了したOSに対しても「WannaCrypt」の事件をきっかけとして5月に緊急修正パッチを公開していますので、早急な対処をお勧めします。

bullet_orange2 WannaCryの世界的な流行と対策

5月12日(金)に、「WannaCry」(別名WannaCryptor、Wcrypt、およびWannaCrypt)と呼ばれる大規模なランサムウェア攻撃により、UK国民健康保険(NHS)および、スペインのテレコム会社Telefonicaを含む組織が攻撃に遭いました。

このランサムウェアはファイルを暗号化し、復号化のための金銭をbitcoinで支払うように要求する身代金要求型マルウェアですが、注意すべき重要な点は攻撃がどのように広がるかです。 従来、ランサムウェアは電子メールで配信されていましたが、これはWindowsのネットワーク共有機能を悪用してネットワーク経由で他のPCに感染する自己伝播能力を持っています。Microsoftから修正パッチは提供されていますが、病院、工場、鉄道などではWindows XPやWindows 2003 Serverなどすでにサポートを修正しているOSをいまだ継続して使用しているケースも多く存在しているため、そのような環境で被害が多発しているようです。

下図はCYREN社提供の世界におけるWannaCrypt感染1日目の状況です。日本でも感染が確認されています。あるwebサイトへアクセスすることでランサムウェアを停止できる”キルスイッチ”機能を持つものが確認されていますが、この機能を持たない亜種もすでに確認されています。

WannaCry02

WannaCrypt 感染状況1日目

bullet_orange2 身代金を支払えば解決できる?

WannaCryに感染すると、以下の画面により、ファイルを復元するための身代金$300をBitcoinで支払えというような脅迫メッセージが表示されます。(メッセージ表示は日本語も選べるようになっています)しかも、身代金が値上げされるまでの時間や、ファイルが失われるまでの時間がカウントダウンされています。突然、このようなメッセージが表示されファイルが開かなくなったら誰でも焦ってしまうでしょう。

しかし、「$300で元に戻せるなら・・・」などと考え、身代金を払ってはいけません!比較的少額の身代金を設定して世界中から広く金銭を不正取得することが目的ですから、ファイルが元に戻ると考えないことが賢明です。1つ1つの支払いに丁寧に対応してファイル復旧してくれる犯罪者などいないのです。

WannaCry01

WannaCrypt支払い要求画面

bullet_orange2 WannaCry対策 (2017年5月15日 Cyren社ニュースリリースの抄訳)

Windows修正パッチを適用する

MS17-010 セキュリティアップデートがすべてのWindows端末にインストールされていることを確認してください。
これはMicrosoft Windows SMB Serverのためのセキュリティアップデートです(4013389)

これは、マイクロソフトがサポートを終了した古いシステムにも適用できます。

この特定の攻撃に対して、MicrosoftはWindows XP、8、およびServer 2003用のパッチを発行しています。

【参照ページ】

https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

SMBv1を無効にする

以下のリンクを参照し、SMBv1をすべてのWindowsシステムで無効にしてください。

【参照ページ】

https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

■ ファイアウォールからファイルサーバーへのアクセスを遮断することを検討する

2017年1月、米国CERTは、Shadow Brokersハッキンググループによる米国国家安全保障局(US National Security Agency)から盗まれたEternal Blue攻撃のリリースに伴い、以下のステップを推奨しました。

https://www.theregister.co.uk/2017/01/18/uscert_warns_admins_to_kill_smb_after_shadow_brokers_dump/

Eメールゲートウェイとwebセキュリティシステムを利用する

すべての電子メールおよびWebセキュリティソリューションが最新であることを確認します。
悪意のある電子メールとマルウェアのC&Cサーバへの通信をブロックすることができます。

不審な添付ファイルを含む電子メールに注意する

不明な送信者からの電子メールなど、Officeドキュメント、PDFおよびJavaScript、
またはその他の不審な添付ファイルが含まれていないかよく確認してください。
回避型マルウェアとゼロデイ脅威を識別するためにサンドボックスサービスを使用することを検討してください。

bullet_orange2 Jiransoftのランサムウェア対策製品

最新OSの利用やOSやアプリケーション修正パッチ利用、定期的なデータバックアップ、また、ウイルス対策ソフトの利用ほか、メールセキュリティ対策製品やwebセキュリティ対策製品の導入は、WannaCry以外のランサムウェア対策でも有効な対策です。ぜひこの機会にご検討ください。

■ メールセキュリティ製品

エンドポイントでのランサムウェア対策は必要ですが、さらに入口対策としてメール受信による感染や、出口対策としてメール送信時にランサムウェアが含まれていないかチェックして被害拡大を防ぐことも重要です。

スパムメール対策2017_intro_productlogo_spamsniper_wide メール無害化2017_intro_productlogo_AG_wide-01 メール誤送信対策2017_intro_productlogo_mailscreen_wide

■ ランサムウェア対策製品

AppCheckは、状況認識技術によりパターンファイルを使いませんので、パターンファイルに存在しない未知のランサムウェアであっても検出することができます。

ランサムウェア対策
APPC

■ セキュリティ製品開発キット

CYRENは世界190か国、6億人以上のユーザのトランザクションを日々進化する様々な脅威から守っています。世界的な感染被害を起こしたWannaCryもいち早く検知・遮断する対応を行っています。

情報セキュリティ
2017_intro_productlogo_cyren5-01