ランサムウェア「WannaCry」の感染被害と考えられる通信を検知しました

JSOCの賀川です。

セキュリティ監視センターJSOCは、現在、様々なメディアで報じられているWannaCry(別名: WCry, WannaCrypt, WannaCrypt0r,Wanna Decryptor など)と呼ばれるランサムウェアに関してのお問い合わせを多くいただいており、また、当社がセキュリティ監視サービスを提供する複数のお客様において、WannaCryに感染したと考えられる通信を検知しました。

世界中で広く被害が報道されるなか、日本においてもWannaCryによる感染被害が急速に拡大することを懸念し、本脅威についての関心を高めていただくために、注意喚起情報を掲載するものです。

日本時間5月12日頃より、WannaCry感染被害に関する報道が掲載され、システム停止などの重大な被害が発生していることも報じられています。

WannaCryはランサムウェアという種類のマルウェアで、感染したコンピュータ内の文書などのファイルを暗号化し、暗号を解くことの見返りを要求するものです。また、感染活動の過程で、システムの動作そのものに悪影響を及ぼすことが懸念されます。

WannaCryによる深刻な被害につながった背景として、2017年3月にマイクロソフト社が公開した「WindowsのSMBサーバにおける脆弱性 (MS17-010)」を悪用していることがあげられます。

初期の感染は電子メールに記載されたURL経由でマルウェアを利用者が実行してしまうことにより行われたとの情報がありますが、組織内の一部のコンピュータが感染した場合に組織内部および外部の他のコンピュータに対して、脆弱性MS17-010を悪用しWannaCryの感染被害を拡大します。この攻撃は、マイクロソフト社がメンテナンスを終了し、脆弱性への対応が行われていないWindows XPやWindows Server 2003といった古いOSに対しても実施されます。

今回は影響の大きさから特別に修正プログラムのリリースが決まりましたが、今後は基本的に修正プログラムが提供されないと考えられるため、出来る限り速やかにサポート対象のOSに乗り換えることを検討するべきです。

感染を防ぐ対応

• 「Windows の SMB サーバにおける脆弱性 (MS17-010)」を適用します。
  WannaCryへの特例措置として、Windows XP や Windows Server 2003 などの既にサポート期間の過ぎた製品についても、修正プログラムの提供が開始されています。
  やむを得ず稼働させているシステムが存在する場合には、影響の有無を調査いただくと共に可能な限り早急に適用を実施してください。
• マイクロソフト社が公開した技術情報にある、SMBv1 の無効化を行い、脆弱性への攻撃を防いでください。
• 現在使用されているウイルス対策製品の定義ファイルを最新の状態なるように更新してください。
• 初期の感染の一例として、電子メールに記載されたURL経由でファイル実行されたという情報があります。少なくとも修正プログラムが適用されていない状態においては、不審なメールに添付されたファイルやリンクを開くことのないように組織全体に改めて注意喚起を行ってください。

なお、WannaCryに感染した可能性がある場合には緊急対応サービス「サイバー119」、組織内のWannaCryの感染被害を確認したい場合には情報漏えいチェックサービスで対応可能です。

今後、WannaCryに関連した情報が得られた際には、本注意喚起を更新いたします。

参考情報

• "マイクロソフト セキュリティ情報 MS17-010
• Microsoft Update カタログ(KB4012598)
• ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
• Stop using SMB1（英語）
• SMBv1、SMBv2、および Windows と Windows サーバーの SMBv3 を無効にする方法