WCry 2.0(WannaCry、WanaCrypt0r)ランサムウェアの最新情報
2017 年 5 月 12 日、WCry 2.0(または、WannaCry、WanaCrypt0r、WannaCrypt)と呼ばれる、極めて悪質なランサムウェア亜種の感染が世界中の組織に拡大し、数時間以内に、英国の病院、スペインの通信事業者、ロシアの省庁を始めとして、90 カ国以上で 75,000 件以上の感染が報告されました。
このランサムウェアの初期分析によると、Shadow Brokers がリークした NSA のハッキングツールのダンプによって最近明らかになった、Microsoft Windows オペレーティングシステムの重大な SMB 脆弱性、MS17-010 が悪用されているようです。
ウォッチガードの CTO である Corey Nachreiner は、こちらのデイリーセキュリティバイトで、多層型セキュリティ対策を実装することが、このような脅威の防止には不可欠であると解説しています。
-
- ウォッチガードの GAV(ゲートウェイウイルス対策)は、この新しいランサムウェアの多くの亜種を検知します。
- さらに重要なのは、APT Blocker の挙動検知は、WCry のすべての亜種を検知できる点にあります。
- APT Blocker のサンドボックスを使った検知機能であれば、これから登場する亜種も引き続き検知し、ブロックできます。
- そして最後に、ウォッチガードの IPS(不正侵入防御サービス)は、このランサムウェアが内部での拡散に使用している、NSA から流出した MS17-010 脆弱性(シグネチャ:1133635、1133636、1133637、1133638)を検知できます。
IT 管理者は、Windows の最新セキュリティ更新プログラムをインストールすることで、この MS127-010 脆弱性を解決する必要があります。さらに、ウォッチガードのお客様には、GAV(ゲートウェイウイルス対策)、APT Blocker、および IPS を使用した、ネットワーク境界でのランサムウェア対策をお願いします。
ランサムウェア対策のヒント
パッチをできるだけ早く適用することで、ソフトウェアを常に最新の状態にしておきます。メーカーがサポートを終了した古いシステムやソフトウェアを使い続けると、脆弱性が修正されないため、セキュリティの重大な脅威となることを認識しておく必要があります。組織によっては、レガシーシステムをリプレースしたり更新したりできない場合もあると思いますが、そうであれば、さまざまな対策が必要です。また、すでにサポートを終了している Windows XP と Windows Server 2003 についても、パッチが公開されました。
WCry 2.0 の感染してしまった場合の対応
-
- まず、感染したコンピュータをできるだけ早くネットワークから切り離します。この攻撃は、Windows ネットワークの脆弱性を利用して、ネットワーク内の多数のコンピュータに拡散するようです。その機能が直接にランサムウェアそのものに組み込まれているのか、あるいは拡散に使われているファイルに組み込まれているのかは、不明です。いずれにしても、感染したコンピュータをネットワークの他の部分から分離することで、感染の拡大を防ぐ必要があります。
- 次に、暗号化されたファイルを数週間保管します。バックアップがない場合、ファイルを復元できる可能性は極めて低いと思われます。最新のランサムウェアの多くは、解読方法が明らかになっていない、強力な暗号化方法を使用しているためです。ただし、マルウェアの作成者がミスを犯すことも少なくありません。少なくとも 1 人の研究者が、Wcry2.0 には研究者であれば解読できる可能性がある暗号化方法が使われているようだとツイートしています。過度な期待はできませんが、復元方法が見つかった場合に備えて、暗号化されたファイルを保管しておきましょう。