This post is also available in: English (英語)
何が起こったか:
2017年5月12日金曜日、ランサムウェア(身代金要求型マルウェア)WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃はWannaCrypt, WannaCryとも呼ばれ、世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。
どうやって攻撃されるのか:
WanaCrypt0rの初期の感染経路はまだ明らかになっていない部分もありますが、SMBプロトコルを経由して、ネットワーク内のMicrosoft Windows システムにある脆弱性 EternalBlue (CVE-2017-0144)を悪用し、他のホストに広範囲に感染を広めようとして攻撃します。この脆弱性は、2017年3月にMicrosoftがMS17-010として対処したもので、2017年4月にハッカー集団「Shadow Brokers(シャドー・ブローカーズ)」によって一般公開されています。
Microsoft はWanaCrypt0r攻撃に対する防御について記事(リンク先英語記事。同社の日本のセキュリティチームも、同様の情報をまとめた記事を公開しています)を公開し、Windows XPを含む、サポート期間の切れたバージョンに対するパッチの提供を開始しました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありませんが、現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正されているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。
阻止:
Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。
-
- WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザーに配布されることを自動的にブロックしています。
- 脅威防御
- この攻撃に使用されているSMB脆弱性の悪用- ETERNALBLUE (CVE-2017-0144 - MS17-010)に対応する IPS シグネチャ(公開: 688-2964)を適用しています。
- ThreatVault (脅威名“Trojan-Ransom/Win32.wanna.a” and “Trojan-Ransom/Win32.wanna.b”を含む)で参照できるアンチマルウェアシグネチャを展開します。
- 脆弱性を狙ったエクスプロイトであるバックドアツール、DoublePulser向けのコマンド&コントロールの防御(公開:695)を提供しています。ThreatVault 等で見つかっています。
- URLフィルタリング は悪意のあるURLをモニタしており、必要な場合防御を適用します。
- DNSシンクホール機能 はネットワーク上の感染端末を特定することができます。ベストプラクティスについては製品ドキュメントを参照ください。
- Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 Trapsの防御についての詳細は、ブログ でもご確認いただけます。
- AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威のハンティングができるようこの攻撃を追跡します。
- GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。
Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。
弊社は、すべてのWindowsユーザーに対し、サポート期間が切れたバージョンを含め、Microsoftが公開した最新のパッチを確実にインストールすることを強くお勧めします。