ちょっと話題の記事

国内外で猛威を奮っているランサムウェア「WannaCry/Wcry」対処方法まとめ

特集

森永大志

2017.05.15

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

森永です。

話題になっているので知っている方も多いと思いますが、「WannaCry」というランサムウェア(身代金要求型ウィルス)が世界中で猛威を奮っています。情報を集めたので、自分の備忘としてまとめておきます。

WannaCryとは

WindowsのSMB(Server Message Block)1 v1の脆弱性(CVE-2017-0144)を悪用したランサムウェア2です。

対象のOSは以下です。

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2
  • Windows Server 2008 R2 SP1
  • Windows 7 SP1
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016

詳細はMicrosoft Security TechCenterを参照下さい。

この他にもサポートを終了したOSでもSMB v1が有効になっていれば実行される可能性があります。
今回はMicrosoftがレポート終了したWindows XP、Windows Server 2003に対してもパッチをリリースしています。

KB4012598検索結果 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

WannaCryの被害を防ぐ方法

パッチを当てる

Microsoftは2017年3月に緊急のパッチをリリースしています。
こちらを当てればSMB v1の脆弱性をパッチできます。

マイクロソフト セキュリティ情報 MS17-010 - 緊急

アンチマルウェアソフトを最新に

だいたいのアンチマルウェアソフトでは既に対応されています。
最新にアップデートし、念のためウィルススキャンをかけましょう。

SMB v1を無効化/削除する

SMB v1は古いプロトコルで、同じLAN内に古いPCやサーバがなければ3無効化してしまった方がいいです。
Windows PowerShell 2.0以降であれば、Powershell一発で無効化出来ます。(最新のOS以外は再起動が必要になるようです。)

詳細は以下をご覧ください。

SMBv1、SMBv2、および Windows と Windows サーバーの SMBv3 を無効にする方法

ランサムウェア被害を予防するには

あやしいメール、添付ファイル、URLは開かない

当たり前ですが、非常に重要です。

ただ、個人的にはここだけを徹底することはオススメしません。
自分がいくら気をつけても社内の誰かが感染すればそこから感染する可能性がありますし、そもそも人間の行動を制限するというのはセキュリティ対策としては下策です。(セキュリティ教育に意味が無いというわけではありません。)

人間はミスをする生き物ですので、万が一やらかしてしまった時に問題が起きないようにする必要があります。

OSのパッチは最新の状態にしておく

感染したとしても脆弱性がなければ実行されてしまうことを防げます。

今回Windowsのパッチは3月時点で既にリリースされています。
サーバによっては全てのパッチを当てることは難しいかもしれませんが、緊急度の高いパッチはすぐに適用できるように整備しておく必要があります。
Windows Server Update Services(WSUS)で緊急、重要となっているものは無条件で適用するという運用を作っておくだけでもよいかと思います。

セキュリティ製品を導入する

最近のセキュリティ製品では、ランサムウェア対策が出来るものが出てきています。
既知のランサムウェアでなくても振る舞いを検知しブロックしたり、バックアップを取ってくれるものもあります。

データのバックアップをとっておく

最悪、実行されてしまってもデータが別に取ってあればそれを復元するだけで復旧可能です。

気をつけなければならないのは、同じサーバ内でバックアップを取得してバックアップまでやられてしまうという自体です。
AWSであれば、スナップショットを毎日取得したり、データをS3に置いたりすることで対応できます。

最後に

ランサムウェアの被害は日本国内でも増加しているようですので、他人事だと思わずに出来る対応をとることが重要です。
特にセキュリティパッチについてはすぐに適用できるよう運用体制を整備する必要があります。

サーバへのデータのもたせ方やセキュリティ対策製品の導入など最新のセキュリティ事情に応じて臨機応変に対応しましょう。

参考URL

  1. ネットワークファイル共有プロトコルの一種で、LAN上でファイルの読み書きなどを行う際に使用されます。 
  2. システムを暗号化するなどして、復旧するために身代金(Ransom)を要求するマルウェアのこと。IPAが発行する情報セキュリティ10大脅威 2017の2位にランクインしています。 
  3. 古いPCやサーバの場合SMB v1しか対応していない可能性があります。サポート切れのOSを使用している場合は早めに窓からポイしましょう(切実) 
スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

インシデントレスポンスのライフサイクルを廻すポイントってなに 【資料公開】 #devio_osakaday1

酒井剛

2024.04.12

Splunk の CIM (Common Information Model) の使い方と CIM 対応 App について理解する

佐久間昇吾

2024.04.06

Exploring WhatsApp Data with Splunk: A Hands-On Guide

HemanthKumar R

2024.04.05