株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年06月28日 | ラックピープル

WannaCryの危機再び。新たな拡大感染型ランサムウェアGoldenEye/Petyaが全世界で拡散中。

サイバー・グリッド・ジャパンの仲上です。

自診くん」をご活用いただきありがとうございます。
今回の投稿も、自診くんでの自己診断が有効なランサムウェアのお話です。

6月27日に発生が確認された新型マルウェア「GoldenEye(またはPetya亜種)」は、WannaCryと同様にWindowsの脆弱性を利用して感染拡大するタイプのマルウェアと言われ、ヨーロッパ・アメリカを中心に猛威を振るっており、現時点でウクライナ政府や、ロシアの国営石油会社、イギリスの大手広告代理店、アメリカの製薬メーカーなど影響力の大きな組織や企業が機能不全に陥っていると報道されています。

一般的なランサムウェア攻撃はパソコンのファイルを勝手に暗号化し、ファイルの回復を人質にして身代金を要求するサイバー犯罪です。

5月に発生したランサムウェアWannaCryによるサイバー攻撃では、Windowsの脆弱性とインターネットに公開されたネットワークポートから侵入して感染を広げることから爆発的に増殖し、世界中で大きな被害をもたらしたことも記憶に新しいところです。

今回のGoldenEyeは、初期感染原因はメールの添付書類(Office関連)が原因との報道もありますがまだ特定されていません。しかし、感染後はWannaCryと同様にハッカー集団ShadowBrokersによって公開されたEternalBlueと呼ばれる攻撃手法によって感染拡大すると言われています。EternalBlueはSMBv1の脆弱性(MS17-010等のパッチによって対処可能)と、その通信ポートである445/TCPからの感染を狙うものです。

また、あらかじめパソコンに仕掛けられたDouble Pulsarと呼ばれるバックドア(ネットワークに繋がる裏口)を利用する可能性もあります。

6月22日に警察庁が発表した報告書「ランサムウェア「WannaCry」の亜種に感染したPCからの感染活動とみられる445/TCP」では、WannaCryのキルスイッチ(機能無効化)が行われた以後も、継続してTCPポート445へのアクセス増加が観測されていることが指摘されており、従来のキルスイッチによる対処が効かない新種による被害の発生が警戒されていた中での出現となりました。

さらにGoldenEyeは、WMICやPsExecといった手法を利用して、組織内部での拡散を行うとも言われています。

急激に感染が拡大している状況ですので、今一度、以下をご確認いただければと思います。

ご確認頂きたいこと

  • Microsoft Windows/Officeの最新セキュリティパッチの適用
  • インターネット接続時のポート445の外部公開設定
  • 感染したパソコンを社内に持ち込んだ場合、そのパソコンの管理者権限が取られた場合の社内への影響範囲の把握

今回と同様の手法で感染するWannaCryへの詳しい対処方法については、「ランサムウェア「WannaCry」対策ガイド rev.1」をご参照ください。

また、インターネット利用時のポート安全性の確認には、先日公開した自己診断サイト「自診くん」をご活用ください。

なお、JPCERT/CCは、「インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起」という情報を掲載し、問題の認知活動を行っています。

ラックでは引き続きWannaCry、GoldenEyeの活動を注視してまいります。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top