WannaCryランサムウェアについて

2017年5月15日

WannaCryランサムウェアとは?

WannaCryはPCのデータを暗号化した上で、ユーザーにビットコインで300ドルの身代金を支払う様に要求します。また身代金請求には、3日経つと身代金が2倍になるとあります。さらに7日間身代金が支払われない場合には、その暗号化されたデータは削除されます。

それに加え、‘!Please Read Me!.txt’ と言うファイルがPC上に置かれ、それには、何か起こっているか、身代金の支払い方法が記述されています。
この攻撃は、Windowsのファイル共有プロトコル、Server Message Block (SMB) v2 の遠隔コード実行により行われます(MS17-010)。また1台のPCが攻撃された場合、社内のネットワーク上のPCにもユーザーの手を介さず拡散します。

誰が影響を受けるのか?

世界中の多くの組織が影響を受けています。影響を受けた組織の多くは、組織内の環境のコンピュータに最新のWindowsセキュリティ更新を適用していません。WannaCryランサムウェアは多くの種類の拡張子のファイルを暗号化し、ファイル名の末尾に .WCRY をつけます。

組織をランサムウェアから守るのに何をすべきか?

ランサムウェアの亜種や変種は日々出現しています。組織のOSやソフトを常に最新の物にする事が推奨されます。

  • 最新のWindowsセキュリティ更新(時にMS17-010)を適用する。
  • デスクトップアンチウィルスのスキャンを有効にし、更新する。
  • Server Message Block (SMB) v2 の遠隔コード実行により攻撃が行われる点から、ファイアウォールでポート(137,138,139 445)による不必要な通信をブロックする。更にSMB v1を無効にする。 
  • 侵入検知システム(IDS)をご利用の場合、該当する接続を検知する様に設定する。
  • 組織内から、以下のドメインが名前解決でき、かつアクセス可能にしておく。このサイトは、WannaCryの幾つかのバージョンの停止スイッチとして機能し、その活動を防ぎます。http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/
  • 多くのEメールの場合、SECURE Email Gatewayの KasperskyやSophosのアンチウィルススキャナが以下の様な脅威を検知することが期待できます。できれば、念の為、両方のアンチウィルススキャナをご利用されることをお奨めします。
製品名リリース
Trojan-Ransom.Win32.Gen.djd Troj/Ransom-EMG cerb-ama.ide
Trojan-Ransom.Win32.Scatter.tr Mal/Wanna-A wanna-d.ide
Trojan-Ransom.Win32.Wanna.b Troj/Wanna-C wanna-d.ide
Trojan-Ransom.Win32.Wanna.c  Troj/Wanna-D wanna-d.ide
Trojan-Ransom.Win32.Wanna.d HPMal/Wanna-A pdfu-bfo.ide
Trojan-Ransom.Win32.Wanna.f Troj/Wanna-E rans-emh.ide
Trojan-Ransom.Win32.Zapchast.i  Troj/Wanna-G rans-emh.ide
PDM:Trojan.Win32.Generic

  • スパム検知もこうした脅威の検知に役立ちます。クリアスウィフトは、文書に添付されたあらゆるマクロを検出し削除する為に「アクティブコンテンツの検出」と「構造の検証」の組み合わせを使用することをお奨めします。また実行ファイルもデフォルトでブロックされるべきです。
  • メールにファイル名の最後に.WCRYと言う拡張子のついたファイルがある場合がありますので、「ファイル名の検出」規則により、こうした添付ファイルを検疫する。
  • 最新のバージョンのSECURE Email Gateway v4.6.1を利用する。 このバージョンはメール中のURLやハイパーリンクを削除する「メッセージのサニタイズ」規則を含んでいます。この機能は業務に必要なURLも削除しますが、攻撃から組織をより強固に守るためにお奨めします。

本件に関するお問い合わせ先

クリアスウィフト株式会社 テクニカルサポート 

Email: support@clearswift.com  0800-1000-0068