ファイル無害化 自治体システム強靭性向上

Wanna Cryランサムウェアもしくは類似した攻撃からの防御策(2017年5月15日)

先日、主要企業や様々な政府機関を含む100ヵ国以上のユーザと組織がWannaCry / Wanna Decryptorランサムウェアによる被害を受けました。このランサムウェアはフィッシングメールを介してシステムに侵入し、Windowsの既知の脆弱性を悪用し、拡散します。
5月12日付けの報告書では、イギリス国民保険サービスがランサムウェアに感染し、最大16もの病院が影響を受けたと報告しています。攻撃はそれ自体でも非常に壊滅的な影響を与えますが、このランサムウェアは世界中の企業や政府機関に拡散したため、予想をはるかに超える被害を生み出しています。しかもまだ被害は広がっています。MalwareTechはこのランサムウェアの初期バージョンを無効化する非常に簡単な方法を発見しましたが、この方法では無効化できない、Wanna Decrypterの新バージョンが現在世界中で猛威を振るっています。
このランサムウェアはWindowsの「脆弱性MS17-010」を使用しています。この脆弱性に対するパッチは3月14日に提供されており、このパッチを適用することで感染を防止することができましたが、多くのシステムでは適用されていなかったのが現実です。

OPSWAT製品によるWannaCryの防御

OPSWAT製品を使用している多くのお客様からは、OPSWAT製品を導入していればこのランサムウェア攻撃をブロックできたのかどうかのお問合せを頂きました。現在の最新の調査では、このランサムウェアが実行するためには多くの実行ファイルが必要なことが分かっています。OPSWATでは既にこれらのファイルを収集しており、検出することが可能となっております。また、OPSWATの調査ではMetadefender Core16 / 20を使用することでWanna Decryptorに関するファイルをすべて検出可能です。
さらに、Metadefender Coreのワークフローエンジンでは、管理者が実行形式のファイルをブロックするポリシーを定義することができます。Metadefender Coreの無害化エンジンでは、あらゆるファイルの無害化を行います。これら二つのエンジンを使用すれば、今回のようなランサムウェアから防御することが可能であり、無害化を行うことができます。
また、Metadefender Coreのメールセキュリティエンジンを使用すると、メールの添付ファイルを無害化し、フィッシングメールを無毒化することができます。今後、Wanna Decryptorを拡散するのにつかわれるフィッシングメールが来ても無毒化することができると考えられます。

Metadefender製品によるランサムウェアのブロック

WannaCry/Decryptorのようなランサムウェアは様々な方法でシステムに侵入します。 下記のような対策が考えられます。

● メールセキュリティの強化
  Metadefender Coreのメールセキュリティエンジンを使用することで、添付ファイルのウイルス検知、除去、悪意のあるメール
  コンテンツの除去が行えます。従業員に毎回届くフィッシングメールの中に含まれる悪意のあるコンテンツは、このメールセキュ
  リティエンジンでブロックできます。
● IPS、プロキシ、ストレージサーバのセキュリティ強化
  Metadefender Coreのウェブセキュリティを使用することで、ダウンロード/アップロードしたファイルのウイルス検知、
  除去、無害化が行えます。
● 外部メディアによる感染の防止
  Metadefender Kioskを使用することで、USB等の外部メディアに含まれる脅威をブロックできます。Metadefender Kioskは、
  クリティカルインフラを持つ多くの施設に導入されています。

メールを介した攻撃であり、添付されているファイルを開くことにより感染します。EternalBlueと呼ばれるSMBのP2P攻撃により、
内部ネットワークに広がります。SMBの脆弱性を利用し、リモートコードが実行されてしまう可能性があります。数十種類の変種が
確認されており、ネット上で急速に進化をとげています。

今回のランサムウェアはいままでのランサムウェアと同じような手口/手法です。 Windowsが3月にはパッチを公開していたにも関わらず、ここまで拡大してしまった理由には、パッチの管理の問題、XPや2003などのサポート対象外のOSを使用していたことが挙げられます。

ファイルの拡張子には「.wncry」「.wnry」「.wcry」「.wncrypt」が使用されており、暗号化と同時に同フォルダ内に
「@Please_Read_Me@.txt」という感染したことを通知するファイルを生成します。今月初めの段階で15万台のPCが脆弱性を
残したままインターネットに接続されているとの報告もあります。

このページの先頭へ戻る


HOMEへ戻る