ランサムウエア被害、週明けにも拡大か?

Windows updateをしましょう!
(参考)Windows Updateを手動で行う方法について教えてください。(NEC、2016.10.28)

《前記事》ランサムウエアで世界各国に影響。ヒトにも影響!(2017.05.14)

ランサムウェア攻撃 匿名の研究者が拡大を「偶然」阻止(CNN、2017.05.14)」によると、「停止スイッチを外部から簡単に作動させることができたため、犯人が素人だった可能性も指摘されている。ただ専門家らは、同様の新たな攻撃が早ければ週明けに起きる恐れもあるとして、警戒を呼び掛けている。」とのことだ。

「 イギリスの健康保険システムを麻痺させたランサムウェアはNSAのハッキングツールが起源だった(techcrunch、2017.05.13)」によると、ランサムウエアのコードには、EternalBlueと呼ばれるエクスプロイト(脆弱性発見プログラム)を利用しているとのことだった。今回の攻撃に使われた脆弱性は、「CVE-2017-0144」ですが、Exploits Databeseにも公開されているので、必要に応じて参考頂きたい。

Shadow BrokersがNSAも使っているというエクスプロイトを公開、Windowsにおいてはすべて対応済み(スラド、2017.04.19)」によると、The Shadow Brokersを名乗る人物またはグループは、NSAのハッキングツール(米国家安全保障局NSAがサイバー攻撃に使用しているというツール)やEternalBlue等を公開していた模様。

Shadow Brokers が 2017 年 4 月 14 日に公開した情報に関するシスコのカバレッジ(Cisco、2017.04.19)」の記事に結構詳しく書かれている。

大規模サイバー攻撃 米開発の技術盗まれ悪用か(NHK、2017.05.14)魚拓
世界99カ国で大規模サイバー攻撃、ルノーは生産停止(ロイター、2017.05.14)魚拓
見えてきた! 海外から国内医療機関を狙うサイバー攻撃者集団の「横顔」(ITSearch、2017.05.08)

NSAのハッキングツールを利用された、とのことだったが、徐々に感染手口が明らかになってくるだろう。

 

では、ランサムウエアに遭わないためにどうしたらいいか、「防御」について参考に上げていきたい。シンプルな手口を見ると、「メール」からなのかな?最近では、SNSが流行しているため、そういったツイート内のURLリンクも注意していきたい。その他、Webサイトから侵入することもある。ランサムウエアは、PCだけではなく、スマホのアプリから侵入するタイプや、インターネット接続が可能なテレビも標的となりやすい。

まず、こういった感染元から防御が大切。メールであれば、迷惑メールやウイルス対策オプションがついているサービスを利用したり、当ブログではOffice365を推しているが、そういったセキュリティの高い製品を利用する、という方法がある。また、SNSでのセキュリティ対策はできない(と思う)が、URLクリック先には、Webサイトへ誘導されるため、Webサイト閲覧時のURLフィルタが有効的だ。

有償版のウイルス対策と呼ばれるセキュリティ製品には、標準オプションにだいたい付いている。
例えば、F-Secure(Windows)の場合、こういった設定オプションがある。
法人向けのClient Suite製品だとセキュリティ管理者側の設定で無効になっている場合がある。

Macの場合は、Windowsよりもシンプルな作りとなっている。

What you need to know about WannaCry, the biggest crypto-ransomware outbreak ever(F-Secure、2017.05.13)Google翻訳-には、対策事項が掲載されている。
1)PCのセキュリティ製品を「リアルタイム更新」と「ヒューリスティック検査によるサンドボックス機能」の対応
2)Microsoft Windows SMBサーバーのセキュリティ更新プログラム(4013389)を適用
3)2の脆弱性パッチの適用ができない場合には、SMBv1を無効にする。
(参考)再チェック! ファイル共有プロトコル「SMB」のためのセキュリティ対策(@IT、2017.01.30)
(参考)SMBv1、SMBv2、および Windows と Windows サーバーの SMBv3 を無効にする方法(Microsoft)
4)ファイアウォール機能が適切に設定。
→特に、SMBが使うTCP138,445、UDP137,138の通信を遮断。遮断した場合は、他にも影響が出るので、十分事前調査が必要。

これらが網羅している製品こそがF-Secure製品と書かれている。エフセキュアを利用していれば、安心ってことですな。

個人においては、ブラウザ保護が可能でかつ、ヒューリスティック検査が可能なセキュリティ製品を利用する。では、企業では?Windows updateがなかなかできないサーバーについては、SMBv1を無効にする方法が先手かもしれない。

サーバーマネージャーの[管理]メニューから[役割と機能の削除]をクリックし、  [役割と機能の削除ウィザード]-[機能]にて「SMB 1.0/CIFS ファイル共有のサポート」のチェックを外す。

PCの場合は、SMBのバージョンをコマンドで確認することができる。

DEPENDENCIES欄に、「MRxSmb10」がある場合は SMBv1 が有効のため、無効にする必要がある。

まずは、SMBバージョン1が無効になっているか、確認して対応することが先手だ。そして、Windows updateが可能なシステムであれば、急いでアップデートしておこう。

コメントを登録する