5月12日にイギリスの国民保健サービス (NHS: National Health Service)など世界的な規模でランサムウェアによる被害が報告されています。特にイギリスでは今回の攻撃によりNHSの一部のサービスが停止に追い込まれ、複数の医療機関で診療ができなくなり、大きな被害が伝えられました。この重大インシデントを始めとして医療機関に限らず世界中で攻擊が観測され、被害が拡大しています。
今回はこのランサムウェア「Wanna Cryptor」についてご紹介いたします。
本記事はこちらよりPDFにてご覧頂けます。
注意喚起:ランサムウェア「Wanna Cryptor」が世界中で猛威
1.概要
5月12日にイギリスの国民保健サービス (NHS: National Health Service)など世界的な規模でランサムウェア*1による被害が報告されています。特にイギリスでは今回の攻撃によりNHSの一部のサービスが停止に追い込まれ、複数の医療機関で診療ができなくなり、大きな被害が伝えられました。この重大インシデントを始めとして医療機関に限らず世界中で攻擊が観測され、被害が拡大しています。
今回のランサムウェア「Wanna Cryptor」(別名:WannaCrypt、WannaCry、WannaCryptor、Wcry)は、アメリカ国家安全保障局(NSA: National Security Agency)から流出したとされる「MS17-010」の脆弱性(CVE-2017-0144)を悪用するエクスプロイト*2を利用していることが特徴です。結果として、PCやサーバ上のファイルを暗号化して開けなくしたうえで、約300ドルのビットコインの支払いを要求する脅迫文が表示されます。
各メディアによると、イギリス以外にもロシア、ウクライナ等各国での被害が多く報道されています。すでに日本国内での被害も確認されており、早急な対策が必要となります。
*1 ランサムウェア:身代金(ランサム)要求型のマルウェアです。感染したPCのデータを暗号化する等して解除に身代金を要求します。
*2 エクスプロイト(exploit):コンピュータのソフトウェア、ハードウェア脆弱性を利用したスクリプトやプログラムを指します。
2.脆弱性情報詳細
(1)対象となるOS
□ Windows 10 Version 1511 for 32-bit Systems
□ Windows 10 Version 1511 for x64-based Systems
□ Windows 10 Version 1607 for 32-bit Systems
□ Windows 10 Version 1607 for x64-based Systems
□ Windows 10 for 32-bit Systems
□ Windows 10 for x64-based Systems
□ Windows 7 for 32-bit Systems Service Pack 1
□ Windows 7 for x64-based Systems Service Pack 1
□ Windows 8.1 for 32-bit Systems
□ Windows 8.1 for x64-based Systems
□ Windows RT 8.1
□ Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
□ Windows Server 2008 R2 for x64-based Systems Service Pack 1
□ Windows Server 2008 for 32-bit Systems Service Pack 2
□ Windows Server 2008 for Itanium-based Systems Service Pack 2
□ Windows Server 2008 for x64-based Systems Service Pack 2
□ Windows Server 2012
□ Windows Server 2012 R2
□ Windows Server 2016 for x64-based Systems
□ Windows Vista Service Pack 2
□ Windows Vista x64 Edition Service Pack 2
(2)対象の脆弱性情報
SMBv1遠隔コード実行の脆弱性としてMicrosoftから2017年3月14日にセキュリティパッチが配信されています。
「MS17-010」(CVE-2017-0144)
※下記のサポート外のOSについてもパッチが配信されています。
□Security Update for Windows XP SP2 for x64-based Systems (KB4012598)
□Security Update for Windows XP SP3 (KB4012598)
□Security Update for Windows Server 2003 (KB4012598)
□Security Update for Windows Server 2003 for x64-based Systems (KB4012598)
□Security Update for Windows XP SP3 for XPe (KB4012598)
□Security Update for Windows 8 (KB4012598)
□Security Update for Windows 8 for x64-based Systems (KB4012598)
3. 攻擊の状況とパッチアップデートが不可能な場合の対策
(1)攻擊状況
今回のランサムウェア感染ルートは大きく3つが観測されています。
①メールを介したランサムウェア感染
②SMBv1脆弱性を悪用したランサムウェア感染
③不正サイトを利用したランサムウェア感染
(2)Windowsの最新アップデートが不可能な場合の対策(SMBv1プロトコルの無効化)
システムがどうしてもアップデートできない場合、サービス影響度を検討した上で、以下のような対策があります。
①ネットワークファイアウォール及びWindowsファイアウォールでSMBv1関連ポートをブロック(TCP/139、445)
②SMBv1の無効化
■Windows 8.1またはWindows Server 2012 R2以上の場合
・クライアントOS:
コントロールパネル > プログラムと機能 > Windowsの機能の有効化または無効化
> SMB1.0/CIFSファイル共有のサポート のチェック解除 > System再起動
・サーバOS:
サーバ管理者 > 管理 > 役割及び機能 > SMB1.0/CIFSファイル共有のサポートのチェック解除
> 確認 > System再起動
■上記以外の場合
・ネットワーク環境 > プロパティを選択
・「Microsoft ネットワーク用クライアント」と「Microsoftネットワーク用ファイルとプリンター共有」項目をチェック解除
4. SecureSoft i-コンテナ / SecureSoft mamoret 活用によるランサムウェアの対策
SecureSoft i-コンテナはPC上にインターネット接続専用環境と通常環境の分離を実現するソリューションです。SecureSoft mamoretはセキュアブラウジングに特化したソリューションです。
i-コンテナ/ mamoretを活用して以下の構成を取ることで、ランサムウェアの被害を回避することが可能です。
【構成条件と攻撃からの対処ロジック】
1. インターネットアクセス環境側でメール受信をWebブラウザメール利用とする。
悪質なランサムウェアが添付されたメールのファイルを開いたり、不正サイトからランサムウェアをダウンロードしてしまった場合においても、i-コンテナ/ mamoretにより分離された環境だけが攻撃対象となり、被害が発生しません。
さらに、i-コンテナ/ mamoretの仮想ドライブ初期化機能により、ランサムウェア自体も削除されるため、安全が確保されます。
2. 大事な業務データは通常業務環境側での利用・保管・管理とする。
i-コンテナ/ mamoretの機能により、通常業務環境側のデータ領域と、i-コンテナ/ mamoretによるインターネット利用のデータ領域は分離されるため、万が一、ランサムウェアがi-コンテナ/ mamoret内に侵入しても大事な通常業務環境のデータを暗号化することができません。
【図】i-コンテナ環境に侵入したランサムウェアの分離イメージ(mamoretも同様)
※SecureSoftコンテナ シリーズについての詳しい内容は、こちらをご参照ください。
5. SecureSoft SniperシリーズによるSMBv1脆弱性対策
ネットワークセキュリティ対策製品「SecureSoft Sniperシリーズ」では今回の脆弱性に対しては下記シグネチャでの不正通信の検知、遮断が可能です。
[3477] MS Windows SMB SrvOs2FeaToNt RCE
さらに、本日付で以下のシグネチャを緊急リリースいたします。
[3484] MS Windows SMB Doublepulsar Kernel Dll Injection
SecureSoft Sniperシリーズについての詳しい内容は、こちらをご参照ください。