WCryランサムウェアから会社や組織を守るために

ランサムウェアは、マルウェアの中で最も急速にその脅威が拡大しており、一般家庭から医療システム、企業ネットワークにいたるまで、あらゆるユーザーが標的となっています。被害の追跡分析によると、2016年1月以降ランサムウェアによる攻撃は平均で毎日4,000件以上も行われていることが明らかになっています。

そして5月12日、FortiGuard Labsは同日を通じて急速に拡散した新しいランサムウェアの亜種の追跡を開始しました。これは極めて感染力の強い自己複製型のランサムウェアで、ロシア内務省、中国の大学、ハンガリーやスペインの通信会社、そしてイギリスの国民保険サービスによって運営されている病院や診療所など、幅広い企業や組織に被害をもたらしました。特に注目すべき点として、今回は複数言語による身代金の要求が行われており、24を超える言語に対応していることが挙げられます。

このランサムウェアは、WCry、WannaCry、WanaCrypt0r、WannaCrypt、Wana Decrypt0rなど、複数の名前が付けられており、Shadow Brokersという名称で知られているハッカー集団が先月インターネット上に流出させた、NSA(米国家安全保障局)も使用していたと考えられているETERNALBLUEと呼ばれるエクスプロイトによって拡散されています。ETERNALBLUEは、Microsoft Server Message Block 1.0(SMBv1)プロトコルの脆弱性を悪用します。


WCry(WannaCrypt)感染時の脅迫画面

影響を受けるマイクロソフト製品

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012およびWindows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Server Coreインストールオプション

すでにマイクロソフトは、3月のマイクロソフトセキュリティ更新プログラムMS17-010の中でこの深刻な脆弱性に対する重要なパッチを公開しています。フォーティネットは、同じ3月にこの脆弱性を検知して攻撃をブロックするIPSシグネチャを公開しており、さらに今回のランサムウェアによる攻撃を検知し阻止する、新しいAVシグネチャを本日公開しました。第三者機関のテストでも、フォーティネットのウイルス対策およびFortiSandboxによって、このマルウェアの攻撃が効果的にブロックされることが確認されています。IPSおよびAVシグネチャについては、本ブログの最後で詳しく説明しています。

フォーティネットジャパン注釈:

なお、すでにサポートが終了している以下製品についても、本脆弱性の影響を受けると確認されていますが、2017年5月13日にマイクロソフトより、この脆弱性に対応するセキュリティ更新プログラムが公開されています。
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

  • Windows XP
  • Windows 8
  • Windows Server 2003

フォーティネットは、下記の対策を講じることをすべてのお客様に強く推奨します。

  • 影響を受ける可能性のあるネットワークの全てのノードに対して、マイクロソフトが公開しているパッチを適用する。
  • フォーティネット製品のAVおよびIPSによる検査機能、そしてWebフィルタリングエンジンが有効で、マルウェアのダウンロードを阻止するようになっていること、WebフィルタリングによってC&Cサーバーへの応答通信がブロックされていることを確認する。
  • 不要なUDPポート137 / 138、およびTCPポート139 / 445への通信を制限する。

また、以下の予防措置を講じることをユーザーおよび企業組織の皆様にお勧めします。

  • すべてのデバイスのオペレーティングシステム、ソフトウェア、ファームウェアのパッチを日常的に適用する体制を確立する。多数のデバイスを利用している規模の大きい企業や組織では、パッチ適用の一元管理システムの導入を検討する。
  • IPS、AVおよびWebフィルタリングテクノロジーを導入するとともに、最新の状態に保つ。
  • 定期的にデータをバックアップする。バックアップしたデータの整合性の検証と暗号化を行うとともに、データが正常にリストアされることを確認するためにリストアプロセスのテストを実施する。
  • 送受信されるEメールをすべてスキャンして脅威を検知すると同時に、エンドユーザーが実行ファイルを受け取ることのないようにフィルタリングする。
  • 導入しているウイルス/マルウェア対策ソフトウェアが定期的なスキャンを自動実行するように設定する。
  • Eメールで送信されたファイルのマクロスクリプトを無効にする。メールに添付されているMicrosoft Office形式のファイルを開く際には、OfficeアプリケーションではなくOffice Viewerなどのツールを利用することを検討する。
  • 事業継続およびインシデント対応に関する戦略を策定し、脆弱性の定期的な評価を実施する。

ランサムウェアの被害を受けてしまった場合の対応としては、以下が挙げられます。

  • 感染したデバイスをできるだけ早くネットワークから切り離して隔離し、ランサムウェアがネットワークや共有ドライブへ拡散することを防止する。
  • ネットワーク全体で感染が見られた場合は、接続されているすべてのデバイスを即座にネットワークから切り離す。
  • 感染したが完全に破壊されてはいないデバイスは、すぐに電源を切る。これにより、ランサムウェアの削除とデータの復旧、被害の封じ込め、そして状態のさらなる悪化を防ぐための時間を確保できる可能性があります。
  • バックアップしたデータはオフラインで保管する。社内で感染が検知された場合は、バックアップシステムをオフライン化するとともに、バックアップデータをスキャンしてマルウェアに感染していないことを確認する。
  • ランサムウェアの被害が発生したら、速やかに警察などの捜査機関に報告し、支援を要請する。

フォーティネットは、当社のお客様のシステムのセキュリティが何よりも重要だと考えています。今後も状況の積極的な監視を継続して新たな悪意のある挙動への対応を行うと同時に、動向に進展があり次第速やかご報告します。

ソリューション

IPSシグネチャ:

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

アンチウイルスシグネチャ:

W32/Filecoder_WannaCryptor.B!tr

W32/WannaCryptor.B!tr

W32/Generic.AC.3EE509!tr

W32/GenKryptik.1C25!tr

CVEセキュリティ脆弱性データベース:

2017-0143から2017-0148