ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

概要:

2017 年 5 月 12 日 (米国時間) より、マイクロソフトは、イギリスを始めとする複数の国の医療機関やその他の企業に影響を及ぼすランサムウェアによるサイバー攻撃を確認しています。このランサムウェアは Wanna Cryptor マルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry などと呼ばれる) の亜種であると思われます。日本でも攻撃報告を確認しており、マイクロソフトでは昼夜を徹して本件の影響を受けた全世界のお客様の支援を進めています。

このブログでは、WannaCrypt の概要およびお客様が必要なアクションを記載しています。

対策:

MS17-010 の適用

このマルウェアはメールなどのソーシャル エンジニアリング手法を使い拡散を狙います。また、CVE-2017-0145 を悪用し細工したパケットを SMB サーバーに送ることで拡散します。このランサムウェアは 2017 年 3 月に修正された SMB v1 の脆弱性 (MS17-010) を利用するため、お使いのコンピューターが最新のセキュリティ更新プログラムをインストール済みであることを確認してください。

Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)

https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

また、お客様の影響の大きさを考慮し、すでにサポートが終了している Windows XP, Windows 8 および Windows Server 2003 についても例外的にセキュリティ更新プログラムを公開しています。

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

なお、現時点では WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。

マルウェア対策製品を最新にする

5/12 (米国時間)、マイクロソフトのマルウェア対策製品に対して更新された定義ファイルを提供しています。このランサムウェアは Ransom:Win32.WannaCrypt として検出されます。

https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt

各社ベンダーから提供されるマルウェア対策製品をお使いのお客様は、各ベンダーの情報を参考に、本マルウェアへの対応がなされていることを確認してください。

追加の保護策としての SMBv1 の無効化

攻撃手法はさらに進化する可能性もあります。追加の多層防御対策が追加の保護を提供する場合もあります。また、MS17-010 の適用ができない環境においては、以下の回避策が役立つ場合があります。(設定による影響もありますので一時的ないしは検討のうえ設定してください)

SMBv1 を無効にする

Windows Vista 以降を実行しているお客様の場合

マイクロソフト サポート技術情報 2696547 を参照してください。

Windows 8.1 あるいは Windows Server 2012 R2 以降を実行しているお客様向けの代替の方法

クライアント オペレーティング システムで:

1. [コントロール パネル] を開き、[プログラム] をクリックし、次に [Windows の機能の有効化または無効化] をクリックします。
2. Windows の設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オフ” にし、[OK] をクリックしてウィンドウを閉じます。
3. コンピューターを再起動します。  

サーバー オペレーティング システムで:

1. [サーバーマネージャー] を開き、[管理] メニューをクリックし、[役割と機能の削除] を選択します。
2. 設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オフ” にし、[OK] をクリックしてウィンドウを閉じます。
3. コンピューターを再起動します。  

回避策の影響: 標的のシステム上で SMBv1 プロトコルが無効になります。

回避策の解除方法: 回避策の手順に戻って、[SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オン” にし、SMB1.0/CIFS ファイル共有のサポート機能を有効化します。

その他の推奨するアクション

1. 最優先事項は、マルウェア対策ソフトがマルウェアを検出できることです。最新の定義ファイルになっていることを確認してください。
2. 利用者が、たとえ見かけが Office や PDF などの見慣れたアイコンであっても疑わしい添付ファイルはクリックしないという正しい知識を持っていることを確認してください。添付ファイルを開くことでアプリケーションが実行されますがユーザーは実行を許してはいけません。不確かな場合はコンピューターに詳しい人に確認するようにしてください。
3. 新規の脅威や検体を検出したと思われる場合、可能な場合は、検体を Microsoft Malware Protection チームに送付してください。https://www.microsoft.com/en-us/security/portal/submission/submit.aspx

関連情報:

MSRC Official blog:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

MMPC Official Blog (technical details):

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/