ランサムウェアWannaCryの影響と対策について

はじめに

世界的に猛威を振るっているランサムウェアWannaCry(ワナクライ)について、影響と対策をご説明します。
WannaCryは別名WannaCryptとも呼ばれており、どちらも同じマルウェアの事を指します。

WannaCryの動作

WannaCryは、以下のような動作を行うことが報告されています。

  • 感染した端末のファイルを暗号化し、身代金(BitCoin)を要求する
  • 端末のシャドウコピー(以前のバージョン)を全て削除する
  • LAN内の他の端末に対して、Windowsの脆弱性を悪用し感染拡大を図る
  • インターネット上のIPアドレスに対して、同様の脆弱性を悪用し感染拡大を図る

このことより、WannaCryはファイルを暗号化するランサムウェア、感染を拡散させるワーム、2つの特徴をもったマルウェアです。

WannaCryの感染確認

NetStableのシグネチャで、以下の通信を検出することが出来ます。

1. 感染時に発生する通信の検知

    • 2000541 – 2000582 WannaCry C&C Connect 1 ~ 42

WannaCry感染時に接続するC&Cサーバへの接続を遮断するシグネチャです。
このシグネチャが検出された場合、送信元IPアドレスの端末がWannaCryに感染している可能性があります。

2. 感染後の通信・感染拡大通信・外部からの攻撃通信の検知

    • 2000584 Doublepulsar ping
    • 2000585 Doublepulsar Process Injection
    • 2000587 Eternalblue echo request

感染拡大を目的とした、Windowsの脆弱性を悪用する通信を遮断するシグネチャです。
このシグネチャが検出された場合、送信元IPアドレスの端末がWannaCryに感染している可能性があります。
また、受信先IPアドレスが自社のIPアドレスである場合、脆弱性を狙った攻撃を受けている可能性があります。

3. マルウェアによる不審な通信を発見する

    • 3000105 Global SMB Session
    • 2000368 Global SMB Connect

外部のIPアドレス(グローバルIPアドレス)宛にWindowsの共有アクセスを試みようとした通信を検知するシグネチャです。
今回悪用されたWindowsの脆弱性は、Windowsの共有システム(SMB)の脆弱性を攻撃するものです。
受信先IPアドレスにアクセスした記憶がない場合、WannaCry等のマルウェアに感染している可能性があります。

      • 2000586 SMB IPC Access

Windowsの共有をパスワード無しの匿名でアクセスしようとした通信を検知するシグネチャです。
社内間のファイル共有ではパスワード無しでの共有がされている事がありますが、受信先IPアドレスが共有サーバ以外である場合や、外部のIPアドレスである場合、WannaCry等のマルウェアに感染している可能性があります。

      • 2000583 Global Port 9001 (Tor) TCP Connect

Torが利用するTCP 9001番ポートへの通信を検出するシグネチャです。
WannaCryは攻撃者側との通信にTorを利用することが確認されています。
受信先IPアドレスに接続した記憶がない場合、WannaCry等のマルウェアに感染している可能性があります。

感染時の対処・予防策

1. NetStableの検出等の感染の疑いがある場合

最新のセキュリティソフトにてスキャンを行い、マルウェアを駆除してください。
その後Windows Updateを行い、Windowsの更新を行ってください。

2. ファイルが暗号化された場合

該当の端末はファイルが暗号化され、周囲の端末に感染を広げようとしている可能性があります。
端末のクリーンインストールを行い、バックアップからデータを復旧することを検討してください。

3. 予防策

  • Windows Updateを行い、最新の更新プログラムを適用してください
  • セキュリティソフトを最新の状態に更新し、定期的なチェックを行ってください
  • 公開しているサーバがある場合、ファイアウォール等の設定を確認し、最小限のポートのみ公開してください
  • Java, Flash Player, Adobe Readerなど主要ソフトの更新も欠かさずに行ってください

<参考URL>
ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/