国内外で猛威を奮っているランサムウェア「WannaCry/Wcry」対処方法まとめ

国内外で猛威を奮っているランサムウェア「WannaCry/Wcry」対処方法まとめ

セキュリティ製品特集

セキュリティ製品特集

#セキュリティ
#Sophos UTM
#Deep Security
森永大志

森永大志

facebook logohatena logotwitter logo
Clock Icon2017.05.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

森永です。

話題になっているので知っている方も多いと思いますが、「WannaCry」というランサムウェア(身代金要求型ウィルス)が世界中で猛威を奮っています。情報を集めたので、自分の備忘としてまとめておきます。

WannaCryとは

WindowsのSMB(Server Message Block)1 v1の脆弱性(CVE-2017-0144)を悪用したランサムウェア2です。

対象のOSは以下です。

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2
  • Windows Server 2008 R2 SP1
  • Windows 7 SP1
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016

詳細はMicrosoft Security TechCenterを参照下さい。

この他にもサポートを終了したOSでもSMB v1が有効になっていれば実行される可能性があります。
今回はMicrosoftがレポート終了したWindows XP、Windows Server 2003に対してもパッチをリリースしています。

KB4012598検索結果 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

WannaCryの被害を防ぐ方法

パッチを当てる

Microsoftは2017年3月に緊急のパッチをリリースしています。
こちらを当てればSMB v1の脆弱性をパッチできます。

マイクロソフト セキュリティ情報 MS17-010 - 緊急

アンチマルウェアソフトを最新に

だいたいのアンチマルウェアソフトでは既に対応されています。
最新にアップデートし、念のためウィルススキャンをかけましょう。

SMB v1を無効化/削除する

SMB v1は古いプロトコルで、同じLAN内に古いPCやサーバがなければ3無効化してしまった方がいいです。
Windows PowerShell 2.0以降であれば、Powershell一発で無効化出来ます。(最新のOS以外は再起動が必要になるようです。)

詳細は以下をご覧ください。

SMBv1、SMBv2、および Windows と Windows サーバーの SMBv3 を無効にする方法

ランサムウェア被害を予防するには

あやしいメール、添付ファイル、URLは開かない

当たり前ですが、非常に重要です。

ただ、個人的にはここだけを徹底することはオススメしません。
自分がいくら気をつけても社内の誰かが感染すればそこから感染する可能性がありますし、そもそも人間の行動を制限するというのはセキュリティ対策としては下策です。(セキュリティ教育に意味が無いというわけではありません。)

人間はミスをする生き物ですので、万が一やらかしてしまった時に問題が起きないようにする必要があります。

OSのパッチは最新の状態にしておく

感染したとしても脆弱性がなければ実行されてしまうことを防げます。

今回Windowsのパッチは3月時点で既にリリースされています。
サーバによっては全てのパッチを当てることは難しいかもしれませんが、緊急度の高いパッチはすぐに適用できるように整備しておく必要があります。
Windows Server Update Services(WSUS)で緊急、重要となっているものは無条件で適用するという運用を作っておくだけでもよいかと思います。

セキュリティ製品を導入する

最近のセキュリティ製品では、ランサムウェア対策が出来るものが出てきています。
既知のランサムウェアでなくても振る舞いを検知しブロックしたり、バックアップを取ってくれるものもあります。

データのバックアップをとっておく

最悪、実行されてしまってもデータが別に取ってあればそれを復元するだけで復旧可能です。

気をつけなければならないのは、同じサーバ内でバックアップを取得してバックアップまでやられてしまうという自体です。
AWSであれば、スナップショットを毎日取得したり、データをS3に置いたりすることで対応できます。

最後に

ランサムウェアの被害は日本国内でも増加しているようですので、他人事だと思わずに出来る対応をとることが重要です。
特にセキュリティパッチについてはすぐに適用できるよう運用体制を整備する必要があります。

サーバへのデータのもたせ方やセキュリティ対策製品の導入など最新のセキュリティ事情に応じて臨機応変に対応しましょう。

参考URL

  1. ネットワークファイル共有プロトコルの一種で、LAN上でファイルの読み書きなどを行う際に使用されます。 
  2. システムを暗号化するなどして、復旧するために身代金(Ransom)を要求するマルウェアのこと。IPAが発行する情報セキュリティ10大脅威 2017の2位にランクインしています。 
  3. 古いPCやサーバの場合SMB v1しか対応していない可能性があります。サポート切れのOSを使用している場合は早めに窓からポイしましょう(切実) 

Share this article

facebook logohatena logotwitter logo

関連記事

[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

User avatar
臼田佳祐
2024.11.15
[レポート]ZANSIN, Babbly - 第2回目 CyberTAMAGO - CODE BLUE 2024 #codeblue_jp

[レポート]ZANSIN, Babbly - 第2回目 CyberTAMAGO - CODE BLUE 2024 #codeblue_jp

User avatar
臼田佳祐
2024.11.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.