セキュアソフト

株式会社セキュアソフト | IPS、DDoS対策、スパムメール対策、監視運用サービスを提供: 2017年5月アーカイブ

2017年5月アーカイブ

Sniperシリーズのシグネチャアップデートサーバの緊急メンテナンス作業についてご案内いたします。
2017年5月28日(日)10:00~19:00の間、作業実施に伴いましてサービスが一時停止いたします。
作業中はご迷惑をおかけしますが、ご理解の程、宜しくお願い致します。

以下の画像をクリックしますと、PDFファイルにて詳細をご覧いただけます。

5月12日にイギリスの国民保健サービス (NHS: National Health Service)など世界的な規模でランサムウェアによる被害が報告されています。特にイギリスでは今回の攻撃によりNHSの一部のサービスが停止に追い込まれ、複数の医療機関で診療ができなくなり、大きな被害が伝えられました。この重大インシデントを始めとして医療機関に限らず世界中で攻擊が観測され、被害が拡大しています。

今回はこのランサムウェア「Wanna Cryptor」についてご紹介いたします。

本記事はこちらよりPDFにてご覧頂けます。


注意喚起:ランサムウェア「Wanna Cryptor」が世界中で猛威

 

1.概要

5月12日にイギリスの国民保健サービス (NHS: National Health Service)など世界的な規模でランサムウェア*1による被害が報告されています。特にイギリスでは今回の攻撃によりNHSの一部のサービスが停止に追い込まれ、複数の医療機関で診療ができなくなり、大きな被害が伝えられました。この重大インシデントを始めとして医療機関に限らず世界中で攻擊が観測され、被害が拡大しています。

今回のランサムウェア「Wanna Cryptor」(別名:WannaCrypt、WannaCry、WannaCryptor、Wcry)は、アメリカ国家安全保障局(NSA: National Security Agency)から流出したとされる「MS17-010」の脆弱性(CVE-2017-0144)を悪用するエクスプロイト*2を利用していることが特徴です。結果として、PCやサーバ上のファイルを暗号化して開けなくしたうえで、約300ドルのビットコインの支払いを要求する脅迫文が表示されます。

各メディアによると、イギリス以外にもロシア、ウクライナ等各国での被害が多く報道されています。すでに日本国内での被害も確認されており、早急な対策が必要となります。 

 *1 ランサムウェア:身代金(ランサム)要求型のマルウェアです。感染したPCのデータを暗号化する等して解除に身代金を要求します。
*2 エクスプロイト(exploit):コンピュータのソフトウェア、ハードウェア脆弱性を利用したスクリプトやプログラムを指します。

 

 

2.脆弱性情報詳細

 

 (1)対象となるOS

  □ Windows 10 Version 1511 for 32-bit Systems

  □ Windows 10 Version 1511 for x64-based Systems

  □ Windows 10 Version 1607 for 32-bit Systems

  □ Windows 10 Version 1607 for x64-based Systems

  □ Windows 10 for 32-bit Systems

  □ Windows 10 for x64-based Systems

  □ Windows 7 for 32-bit Systems Service Pack 1

  □ Windows 7 for x64-based Systems Service Pack 1

  □ Windows 8.1 for 32-bit Systems

  □ Windows 8.1 for x64-based Systems

  □ Windows RT 8.1

  □ Windows Server 2008 R2 for Itanium-based Systems Service Pack 1

  □ Windows Server 2008 R2 for x64-based Systems Service Pack 1

  □ Windows Server 2008 for 32-bit Systems Service Pack 2

  □ Windows Server 2008 for Itanium-based Systems Service Pack 2

  □ Windows Server 2008 for x64-based Systems Service Pack 2

  □ Windows Server 2012

  □ Windows Server 2012 R2

  □ Windows Server 2016 for x64-based Systems

  □ Windows Vista Service Pack 2

  □ Windows Vista x64 Edition Service Pack 2

 

 (2)対象の脆弱性情報

  SMBv1遠隔コード実行の脆弱性としてMicrosoftから2017年3月14日にセキュリティパッチが配信されています。

 

「MS17-010」(CVE-2017-0144

※下記のサポート外のOSについてもパッチが配信されています。

Security Update for Windows XP SP2 for x64-based Systems (KB4012598)

Security Update for Windows XP SP3 (KB4012598)

Security Update for Windows Server 2003 (KB4012598)

Security Update for Windows Server 2003 for x64-based Systems (KB4012598)

Security Update for Windows XP SP3 for XPe (KB4012598)

Security Update for Windows 8 (KB4012598)

Security Update for Windows 8 for x64-based Systems (KB4012598)

 

3. 攻擊の状況とパッチアップデートが不可能な場合の対策

 (1)攻擊状況

 今回のランサムウェア感染ルートは大きく3つが観測されています。

  ①メールを介したランサムウェア感染

  ②SMBv1脆弱性を悪用したランサムウェア感染

  ③不正サイトを利用したランサムウェア感染

 

 (2)Windowsの最新アップデートが不可能な場合の対策(SMBv1プロトコルの無効化)

 システムがどうしてもアップデートできない場合、サービス影響度を検討した上で、以下のような対策があります。

  ①ネットワークファイアウォール及びWindowsファイアウォールでSMBv1関連ポートをブロック(TCP/139、445)

  ②SMBv1の無効化

   ■Windows 8.1またはWindows Server 2012 R2以上の場合

  ・クライアントOS:
   コントロールパネル > プログラムと機能 > Windowsの機能の有効化または無効化

   > SMB1.0/CIFSファイル共有のサポート のチェック解除 > System再起動

  ・サーバOS:

   サーバ管理者 > 管理 > 役割及び機能 > SMB1.0/CIFSファイル共有のサポートのチェック解除
> 確認 > System再起動

 

  ■上記以外の場合

  ・ネットワーク環境 > プロパティを選択

  ・「Microsoft ネットワーク用クライアント」と「Microsoftネットワーク用ファイルとプリンター共有」項目をチェック解除

 

4. SecureSoft i-コンテナ / SecureSoft mamoret 活用によるランサムウェアの対策

 SecureSoft i-コンテナはPC上にインターネット接続専用環境と通常環境の分離を実現するソリューションです。SecureSoft mamoretはセキュアブラウジングに特化したソリューションです。

i-コンテナ/ mamoretを活用して以下の構成を取ることで、ランサムウェアの被害を回避することが可能です。

 

【構成条件と攻撃からの対処ロジック】

 1. インターネットアクセス環境側でメール受信をWebブラウザメール利用とする。
 悪質なランサムウェアが添付されたメールのファイルを開いたり、不正サイトからランサムウェアをダウンロードしてしまった場合においても、i-コンテナ/ mamoretにより分離された環境だけが攻撃対象となり、被害が発生しません。
 さらに、i-コンテナ/ mamoretの仮想ドライブ初期化機能により、ランサムウェア自体も削除されるため、安全が確保されます。

 

 2.  大事な業務データは通常業務環境側での利用・保管・管理とする。
 i-コンテナ/ mamoretの機能により、通常業務環境側のデータ領域と、i-コンテナ/ mamoretによるインターネット利用のデータ領域は分離されるため、万が一、ランサムウェアがi-コンテナ/ mamoret内に侵入しても大事な通常業務環境のデータを暗号化することができません。

 

【図】i-コンテナ環境に侵入したランサムウェアの分離イメージ(mamoretも同様)

 ※SecureSoftコンテナ シリーズについての詳しい内容は、こちらをご参照ください。

5. SecureSoft SniperシリーズによるSMBv1脆弱性対策

 ネットワークセキュリティ対策製品「SecureSoft Sniperシリーズ」では今回の脆弱性に対しては下記シグネチャでの不正通信の検知、遮断が可能です。

[3477] MS Windows SMB SrvOs2FeaToNt RCE

さらに、本日付で以下のシグネチャを緊急リリースいたします。

[3484] MS Windows SMB Doublepulsar Kernel Dll Injection

 

SecureSoft Sniperシリーズについての詳しい内容は、こちらをご参照ください。

先週末より世界各国でランサムウェア攻撃の被害が相次いでおり、その被害は日本にまで及んでいます。
ランサムウェアとは、感染したPCの重要情報を暗号化等し、復元する為に身代金を要求するマルウェアです。

不信なメールを開かないように心がけるだけでは不十分であり、マルウェア感染や情報漏えいを防ぐためにはセキュリティ対策が必要となります。

今回は、ランサムウェアから重要情報を守る為に最適なソリューションである弊社製品「SecureSoft i-コンテナ」と「SecureSoft mamoret」をご紹介いたします。

詳細につきましては、下記のリリース内容をご覧いただきますようお願いいたします。

以下の画像をクリックしますと、PDFファイルにてニュースリリースをご覧いただけます。

キヤノンITSオンラインストアでは、「mamoret」の販売開始に際し、

「SecureSoft mamoret発売記念キャンペーン」を実施します。

 2017年5月10日(水)から2017年6月30日(金)のキャンペーン

期間中は、通常9,000円のところ7,200円(税別、 ライセンス1台・有効期限1年)にて

販売いたします。キヤノンITSオンラインストアでのみのダウンロード販売となりますので、

詳しくは下記URLをご参照いただきますようお願いいたします。

キャンペーン詳細: https://canon-its.jp/lp/mamoret/index.html

キヤノンITソリューションズ株式会社(本社:東京 都品川区、代表取締役社長:神森 晶久、以下キヤノンITS)は、当社のウェブブラウザ仮想化ソフト 「SecureSoft mamoret (以下mamoret) 」を2017年5月10日より
キヤノンITSオンラインストアで販売開始いたします。

キヤノンITSは当社のIPS(インターネット侵入検知)製品の販売パートナーです。

このたび、当社が本格的にコンシューマ向け製品であるmamoretを販売展開するにあたり、ESET等
ウイルスソフトのオンライン販売でも実績のあるキヤノンITSが販売することとなりました。

 

mamoretは、Webサイトの広告や動画再生ボタンのクリックによるマルウェア感染の脅威からPC環境を守り、
機密情報の漏えいを防止するためのウェブブラウザ仮想化ソフトです。

mamoretは、サンドボックス技術を用いてPCのインターネットブラウジング環境だけを仮想化し、通常業務を
行うローカル環境から分離します。これにより、マルウェアがPCにダウンロードされた場合でもマルウェアを
仮想環境に封じ込め、ローカル環境への侵入を防止します。

mamoretは、PCにインストールするだけで誰でも簡単に低コストで利用できます。

キヤノンITSの取り扱う「ESETセキュリティソフトウェア シリーズ」など、既存のセキュリティ対策製品と
組み合わせて、より強固なセキュリティ環境を実現します。

以下の画像をクリックしますと、PDFファイルにてニュースリリースをご覧いただけます。

月別 アーカイブ

Powered by Movable Type 6.5

このアーカイブについて

このページには、2017年5月に書かれた記事が新しい順に公開されています。

前のアーカイブは2017年4月です。

次のアーカイブは2017年6月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。