2017年5月25日

ランサムウェア「WannaCry」の続報


前回の記事に続き、今回も「WannaCry (WannaCrypt , WannaCryptor, Wcry などとも呼ばれる) 」関連情報です。

現状:

5月12日から爆発的に被害が拡大しましたが、それから一週間以上経過した現在でも感染経路がわかっていません。従来のランサムウェアでは、フィッシングメールに添付されたファイルやリンクにより感染することが多いのですが、WannaCryの場合は少なくとも主経路ではないようです。WannaCry自ら、脆弱性の残るPCを検知して感染させている動画が公開されています。
また、暗号化されたファイルを元に戻すツールは確認されていません。

対策:

感染してしまえばファイルは暗号化され取引しない限り元に戻せないのですから、早急に対策しましょう。

1. ネットワークから遮断した状態で、データのバックアップ

ネットワーク経由での感染がありうるため、オフラインでバックアップします。

2. ネットワークに接続し、Windows Update実行

今回のWannaCryが利用している脆弱性は、すでに修正されています。Windows Updateを実行すれば適用されます。

3. ウィルス対策ソフトの定義ファイル更新

通常は自動更新されるはずですが、確認しておきましょう。

4. 不審なメールの添付ファイル・リンクを開かない

WannaCryとの関連性は薄いとはいえ、騒動に便乗したフィッシングメールなどもあり、普段から注意すべきです。


株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。


■セミナー開催のお知らせ■

中小企業「経営者」のための情報セキュリティ対策セミナー

2017年6月22日(木)13:30~16:00
焼津商工会議所(2階会議室)

■第1講座

「静岡県警察本部」からの警告サイバー犯罪に巻き込まれないために

・講師
 静岡県警察本部 生活安全部 サイバー犯罪対策課
 静岡県警部 松島 博之 氏

■第2講座

 中小企業のサイバーセキュリティのプロがアドバイス!
 TVや新聞には出ない被害の実態と対策を徹底解説!

・講師
 株式会社船井総合研究所 サイバーセキュリティチーム
 チームリーダー チーフ経営コンサルタント
 兎澤 直樹 氏

 ⇒ 詳細はこちらをご覧ください


2017年5月17日

サポート切れのWindows OSに異例のセキュリティパッチ公開


ランサムウェア「WannaCrypt」の大規模な攻撃が世界中で確認されています。
特に英国では医療保険制度や日産自動車の現地工場が被害を受け、複数の病院が診療を中止する事態となっています。
スペインでは通信会社Telefonicaのコンピューターが感染するなど大きな問題となっています。

問題のマルウェアは、Windows端末内のファイルを利用者の意図に反して暗号化し、復旧することを交換条件に約300ドルをBitcoinによって支払うよう要求するランサムウェアです。

「WannaCrypt」のほか、「WannaCryptor」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」といった名称で呼ばれることもあり、セキュリティ機関やセキュリティベンダーでは注意を呼びかけています。

日本語など27カ国語に対応しており、世界規模で攻撃を展開し、米国、イギリス、フランス、スペイン、ロシア、台湾、日本など、すでに数万件規模の感染が報告されているということで被害を受けている国数は、150ヶ国を超えています(日経新聞5/15)

メールなどで拡散していると見られ、感染後は、リモートよりコードが実行される「SMB v1」の脆弱性「CVE-2017-0145」を悪用します。
細工したパケットを「SMBサーバ」に送りつけることで拡散する機能を持ち、ネットワーク内にある脆弱なパソコンやサーバへ感染が広がるおそれもあります。

同脆弱性は、マイクロソフトが3月に公開した月例セキュリティ更新「MS17-010」で修正されており、パッチリリース当時には脆弱性の公開や悪用は確認されていませんでしたが、その後同脆弱性を悪用するコードが出回っています。

Windows Vista、7、8.1、10に対しては3月15日にこのランサムウェア用のパッチMS17-010(SMB サーバー用のセキュリティ更新プログラム)がリリースされています。
しかしWindows XP、Windows 8、Windows Server 2003といったサポート終了済みのOSもまだ一部でやむなく使い続けられており、感染の例も出ていることから「異例の措置」として修正プログラムをリリースしたということです。

同社では、アップデートを実施し、セキュリティ対策製品を最新の状態へ更新するよう求めるとともに、「MS17-010」を適用できない場合は、「SMB v1」を無効化するなど対策を講じるよう注意を呼びかけています。

参考元
ランサムウェア「WannaCrypt」が拡散、国内で感染も - 週明けのメールチェック時に注意を
MS、「Windows XP」などサポート終了OS向けに緊急パッチ - LAN内端末狙う「WannaCrypt」対策で

株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。

2017年5月11日

緩いパスワード管理のサーバ、ランサムウェアに攻撃される


ランサムウェアとは、ファイルを暗号化し使えないようにしたうえで身代金を要求する悪質なソフトです。(参考:広がる脅威、ランサムウェア
今回報告された事例は、従来のものとはやや異なるようです。

被害が生じた環境の特徴を見ると、外部からアクセスできるサーバ上で発生。サーバのアカウントで脆弱なパスワードを使用していたり、不審なユーザーによるログインの痕跡や、ログインへ失敗した大量のログが残存していた。
Security NEXTより引用)

サーバを利用するクライアント端末にランサムウェアの被害もなく、サーバで利用していたアカウントのパスワード管理が甘く、外部の攻撃者が正規利用者になりすましてログインし、ランサムウェアを実行した可能性がある。
Security NEXTより引用)

推測されやすいなどパスワードの管理が甘いこと、不審なログイン形跡をそのまま放置していることなど、サーバ管理に問題があったといえるケースです。パスワードそのものの強化、サービスごとで異なるパスワードを使用するなどの対策はすぐにでも可能ですし、すべきです。また、そもそも外部に公開しなければいけないサーバなのか、アクセス制限は可能なのかなどの検討も必要です。

《参考URL》

利便性と堅牢性の両立は困難かもしれませんが、解決するための方法はいくつかあります。
株式会社サンロフトでは、サイバーセキュリティ対策についてご案内できるソリューションがあります。是非お気軽に、ご相談ください。