ランサムウェア、国内感染増加中。

対策は、Windows updateで最新に。セキュリティ対策ソフトの定義ファイルも最新に。

(過去ログ)その1その2

今日は通信回線が重かった。テレビ会議システムの映像が、モザイクちっくだった。フレッツ光回線は、相当混雑していたのではないだろうか?

日立製作所では、社内のシステムがサイバー攻撃を受け、週末から一部でメールの送受信や添付ファイルの表示ができなくなっているという[1]。また、日立製作所が運営している日立総合病院でも、メールの送受信等に障害が生じているとのことだ[2]。日立製作所といえば、J1/秘文等を販売しており、情報漏えいを未然に防ぐセキュリティ対策製品等で非常に「セキュリティ」にはうるさいメーカーという位置付けだ。その会社が何故に、ランサムウェアに感染してしまったのか?という謎が残る。メールによる単純な感染か?それともNSAハッキングツールによる標的型攻撃か?

IPA:情報処理通信機構は、「今回観測されているランサムウェアはWanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えらる」と指摘。また、ローカライズされたランサムウエアであるとして、写真↓を掲載[3]

更なる詳細は、インシデント情報をまとめているpiyologが詳しすぎるので眺めてください。→[4]

暫定対応としては、SMBv1を無効にする[5]!ということなのですが、これを無効にすると、Windows XPやWindows Server 2003に影響を及ぼしてしまう。企業内においては、これらのOSはちゃっかりあったりする。そのため、SMBv1を無効にできないのが現実だ。であれば、やむなく、1台ずつ、MS17-010を適用しなくてはならない。なお、適用後再起動が求められるため、タスクに再起動処理( shutdown /r /t 0 /f )を入れておく必要がある。
Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
これには、サポートの切れたWindows XP/VistaやServer 2003等が含まれないため、別サイトからダウンロードが必要だ。
→ Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)

 

エフセキュアに今回のランサムウエアについての対応状況に確認したところ、

今回問題となっているランサムウェアはWanna Cryptorの亜種となります。
弊社での検知名は、Trojan.Ransom.WannaCryptor.A と Trojan.Ransom.WannaCryptor.H の二種類で、それぞれ下記のアップデートにて対応しております。

Trojan.Ransom.WannaCryptor.A  [Aquarius database version: 2017-05-12_12] https://www.f-secure.com/dbtracker/Aquarius/2017-05-12_12.html

Trojan.Ransom.WannaCryptor.H  [Aquarius database version: 2017-05-13_04] https://www.f-secure.com/dbtracker/Aquarius/2017-05-13_04.html

Client Securityのバージョンには依存しておりません。

 

とのことだった。

ボットネットトラッカーのWannaCryの国内感染状況をズームし、時間幅を1日にしたところ、都市圏に集中していることが分かった。結構感染報告をしていないところが多いんじゃ?と受け取れる。

亜種が怖い。今回のバージョンでは、Windows10では走らない。でも、次回出たら走るだろう。

いまのうちに、Windows updateできるものは、やっておこう。

 


[1] サイバー攻撃の影響、日立でもシステム障害〜被害は世界的、国内でもPC2000台超が感染〜(東京経済オンライン、2017.05.15)
[2] 茨城・日立の日立総合病院でメール不具合(産経ニュース、2017.05.15)
[3] 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について(IPA、2017.05.15)
[4] 世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた(piyolog、2017.05.13)
[5] ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス(日本のセキュリティチーム、2017.05.14)