今日は記事を書く予定は無かったというか、高熱で寝てたんですけど、かなりの大ごとが発生しているので注意喚起のためにちょっとだけまとめておきます。
もうニュースで知っている方も多いとは思いますが、Windows XPなどの脆弱性を突いた大規模なサイバー攻撃が発生しています。これは身代金を要求するマルウェア、ランサムウェア「Wanna Cryptor」によるものとされています。
攻撃にさらされるとデータが暗号化され、復号(暗号化の解除)に300ドルを要求されます。しかし、お金を払ったから確実に複合されるとの保証もないので、一般的には独自に対処する事例がほとんどです。※現時点でお金を払っても復号はされないようです。ご注意を。
現時点で世界中で影響が出ているようですが、日本でも月曜日の出勤後、PCの電源をオンにした後に被害が拡大する可能性もあります。PC担当者や、職場でパソコンを使っている方は、十分ご注意くださいね。
ランサムウェア WannaCrypt 攻撃に関するまとめ
今回のサイバー攻撃の原因は、ランサムウェア「Wanna Cryptor」によるものとされています。
感染するのはWindows 10を除くほぼすべてのWindows OSです。なお、きちんとWindows Updateにてセキュリティの更新作業(MS17-010を適用)を行っていれば、サポートが継続されているOSでは問題ないと言われています。
ここで問題になるのが、すでにマイクロソフトのセキュリティサポートが終了しているWindows XP、Windows 8、Windows Server 2003です。セキュリティサポートが終了しているにもかかわらず、まだ使用され続けているパソコンが多く、今回のランサムウェアの標的は主に“Windows XP”だと言われています。※きちんとセキュリティの更新を行っていない場合も被害の対象になる可能性があります。
対応策
- Windows Update で MS17-010 (2017年3月公開) を適用する。
- SMBv1を無効化する。
- ルーターまたはファイアーウォールで445ポートをブロックする。
以下、マイクロソフトの公式ページより転載。緊急のためやむなしです。
MS17-010 の適用
このマルウェアはメールなどのソーシャル エンジニアリング手法を使い拡散を狙います。また、CVE-2017-0145 を悪用し細工したパケットを SMB サーバーに送ることで拡散します。このランサムウェアは 2017 年 3 月に修正された SMB v1 の脆弱性 (MS17-010) を利用するため、お使いのコンピューターが最新のセキュリティ更新プログラムをインストール済みであることを確認してください。
Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
また、お客様の影響の大きさを考慮し、すでにサポートが終了している Windows XP, Windows 8 および Windows Server 2003 についても例外的にセキュリティ更新プログラムを公開しています。
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
なお、現時点では WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。
マルウェア対策製品を最新にする
5/12 (米国時間)、マイクロソフトのマルウェア対策製品に対して更新された定義ファイルを提供しています。このランサムウェアは Ransom:Win32.WannaCrypt として検出されます。
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
各社ベンダーから提供されるマルウェア対策製品をお使いのお客様は、各ベンダーの情報を参考に、本マルウェアへの対応がなされていることを確認してください。
追加の保護策としての SMBv1 の無効化
攻撃手法はさらに進化する可能性もあります。追加の多層防御対策が追加の保護を提供する場合もあります。また、MS17-010 の適用ができない環境においては、以下の回避策が役立つ場合があります。(設定による影響もありますので一時的ないしは検討のうえ設定してください)
SMBv1 を無効にする
Windows Vista 以降を実行しているお客様の場合
マイクロソフト サポート技術情報 2696547 を参照してください。
Windows 8.1 あるいは Windows Server 2012 R2 以降を実行しているお客様向けの代替の方法
クライアント オペレーティング システムで:
- [コントロール パネル] を開き、[プログラム] をクリックし、次に [Windows の機能の有効化または無効化] をクリックします。
- Windows の設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オフ” にし、[OK] をクリックしてウィンドウを閉じます。
- コンピューターを再起動します。
サーバー オペレーティング システムで:
- [サーバーマネージャー] を開き、[管理] メニューをクリックし、[役割と機能の削除] を選択します。
- 設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オフ” にし、[OK] をクリックしてウィンドウを閉じます。
- コンピューターを再起動します。
回避策の影響: 標的のシステム上で SMBv1 プロトコルが無効になります。
回避策の解除方法: 回避策の手順に戻って、[SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オン” にし、SMB1.0/CIFS ファイル共有のサポート機能を有効化します。
その他の推奨するアクション
最優先事項は、マルウェア対策ソフトがマルウェアを検出できることです。最新の定義ファイルになっていることを確認してください。
利用者が、たとえ見かけが Office や PDF などの見慣れたアイコンであっても疑わしい添付ファイルはクリックしないという正しい知識を持っていることを確認してください。添付ファイルを開くことでアプリケーションが実行されますがユーザーは実行を許してはいけません。不確かな場合はコンピューターに詳しい人に確認するようにしてください。
新規の脅威や検体を検出したと思われる場合、可能な場合は、検体を Microsoft Malware Protection チームに送付してください。
https://www.microsoft.com/en-us/security/portal/submission/submit.aspx
以上、ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス|マイクロソフトより転載
Windows XP、Windows 8、Windows Server 2003ユーザーは以下のリンクから緊急パッチをあてる。それ以外はWindows Updateで最新の状態にパソコンを維持してください。
- http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598(現在込み合っていてつながりにくいようです。)
SMB1を無効にするための分かりやすい解説サイト
以上です。とにかく未対応のPCは、早急にWindows Updateや対策パッチをあてること。不審なメールは一切開かないこと。セキュリティ対策ソフトは最新の状態にすること。出社後は早急にご確認くださいませ。
その他参考サイト:
・世界各地で発生したランサムウェア WannaCry 2.0 の感染事案についてまとめてみた – piyolog
・【電子版】大規模サイバー攻撃、日産英国工場や仏ルノーにも影響ー日本はあす要注意|日刊工業新聞
・マイクロソフト、サポート切れのWindows XP他に「異例のセキュリティパッチ」公開。世界的にランサムウェア被害拡大中|engadget(トップ画像引用元)
コメント