Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

WannaCry ランサムウェア・キャンペーン

世界を席巻した WannaCry(別名 WannaCrypt)ランサムウェア・キャンペーンについては聞いた ことがあると思います。このキャンペーンは、少なくとも 99 カ国の組織とエンドユーザに影響を 与え、英国の病院を閉鎖し、主要企業をオフラインにしました。

このランサムウェア自体は特段ユニークなものではありません。数十の他のランサムウェアフ ァミリのように、WannaCry は重要なファイルを暗号化し、ビットコインの支払い形態で身代金を 要求します。このキャンペーンの特定の標的は見あたらず、悪意のあるメールやパッチのない 脆弱性の悪用などの一般的な攻撃経路を使用して拡がっているようです。マルウェアはまた、 2 つのカウントダウン・クロックを開始します。支払いをしなくても 3 日後に身代金が 300 ドルか ら 600 ドルに引き上げられます。2 番目のクロックは 7 日をカウントダウンします。支払いが行 われていない場合、暗号化されたファイルはすべて削除されます。

ネットワーク・エクスプロイション・ベクタは、SQL Slammer や Nimda のような旧式のワームの ように、自動的に広がることができます。このワームの様な振る舞いは、世界中に信じられな いほど速い拡がりを見せています。このキャンペーンで悪用される脆弱性は、ほぼすべての Windows ネットワークで使用される共通の SMB プロトコルにあります。それは 4 月にシャドー ブローカーズのリリースの一部として、具体的には NSA から来たとされる EternalBlue の悪用 として開示されました。Microsoft は 3 月にこの脆弱性を MS17-010 のセキュリティ報告で修正 しました。

使用可能なパッチがあるにもかかわらず、WannaCry の拡がりを遅くするようには見えません でした。多くの場合、システム管理者はコントロールしているシステムにパッチを当てていない ため、要因は未だに広く普及している Windows XP と Windows Server 2003 にあります。これ らのオペレーティングシステムは両方とも「エンドオブライフ(EOL)」を過ぎており、もはやパッ チは提供されません。WannaCry が使用している広範な搾取を阻止するため、マイクロソフトは EOL のシステムにパッチを適用するという珍しい動きをしました。

ランサムウェアは今日フィールドで最も一般的な脅威の 1 つであり続けています。特にネット ワークの隙間や隅にパッチされていない貴重なデータとレガシーシステムの両方がある大規 模な組織にとっては、一貫性のある最新のシステムバックアップは、ランサムウェア感染から 回復するために非常に重要です。犯罪者は回復可能な場合、データの人質を保持することは Trustwave [Product Name] [Version Number] Release Notes - October 25, 2017 Copyright © 2017 Trustwave Holdings, Inc. All rights reserved. 2 できません。この攻撃は SMB の脆弱性を利用しているため、境界ファイアウォールで SMB を 無効にするか SMB をブロックすることは、脆弱なシステムへの拡散を防ぐための積極的な対 策となります。システムにパッチを当てたり、レガシーシステムをアップグレードしたりすること は、感染の予防に向けた長い道のりとなるでしょう。マイクロソフトは 、この特定の脅威からシ ステムおよびネットワークを保護するための追加のガイダンス 発行しています。

Trustwave のお客様は、次のような当社のセキュリティ製品において、このキャンペーンに対し て積極的な防御策を見出すことができます。

  • Trustwave Secure Email Gateway (SEG)
  • Trustwave Secure Web Gateway (SWG) - (デフォルトでは、マルウェアが使用しようとしている Tor ベースの通信はすべて遮断さ れます)
  • エンドポイント用の Trustwave Managed Detection & Response (MDR)
  • Trustwave AV (ランサムウェア自体を検出できる)
  • Trustwave UTM (MS17-010 の利用をブロックする)
  • Trustwave 脆弱性スキャナー(システムに MS17-010 パッチがない場合に検出されま す)

最後に、あなた自身またはあなたの組織が感染していることが判明した場合は Trustwave イ ンシデント・レスポンスチームがお手伝いします。詳細については次の URL に訪問していただ くか https://www.trustwave.com/en-us/services/consulting/spiderlabs-consulting/ 、当社の 24 時間対応のインシデント・レスポンス・ホットラインに電話してくださ い。+1(866)659-9097 に電話し、"オプション 5 "を選択してください。