なんとなく綴ってみた

アクセスカウンタ

zoom RSS 世界規模のランサムウェア攻撃、WannaCryは何故ここまで広がったのか?

<<   作成日時 : 2017/05/15 08:55   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

昨日も書いたが、今日もこれである。
タイトルを付けておいて、ルートがいくつあるのか、どこから来たのかはまだ判明していない。

確かな事は、MS17-010.で3月に公開されたセキュリティアドバイザリーの情報、Microsoft Server Message Block 1.0(ネットワーク共有に関する機能)の脆弱性を利用されている。そして、その攻撃を行うために、メール等で予めこれに準じたトロイの木馬(WannaCry)を感染させる方法が今回は多く検出されているようだ。また、Webサイトなどに細工を加えてブラウザの脆弱性などを介して感染させる方法もあるが、これはOSが限定されるため、OSのバージョンが古い場合に有効だろう。後は、フリーソフトなどに見立てたZipファイルなどにWannacryが忍ばせてあるケースもあるのかもしれない。

英国などでWindows XP経由の大規模感染が起きたのは、後者の2つのルートもありえる。WannaCryを抑止するパッチが提供されても、既にWindowsXP本体の脆弱性が消えることはないため、WindowsXPやVistaはインターネット接続環境に使うのはもう避けた方がよいだろう。
http://www.itmedia.co.jp/news/articles/1705/14/news016.html

たぶん、一つのランサムウェアがこれほど広がったのは、SMB1.0の脆弱性を用いていたからだろう。これは、ファイル共有サービス特有の欠点が用いられたためである。同一ネットワーク上の共有デバイス間でランサムウェアが拡散し、システムが落ちてしまったのだ。そして、そういうサーバー共有コンピュータがあるのは、ほとんど企業システムである。100台コンピュータがあって、1台感染すれば、それを起点に全てに広がる。
企業コンピューターは、一括導入されるケースが多いため、共有されているコンピュータも同じOS、同じハードウェアというケースが多い。結果的に、全部が暗号化されるという筋書きだ。

この手の脆弱性は他にも沢山あるが、実際に実行コードが大々的に出回るケースは決して多くない。最近は、拡散させるより、特定の企業を特別に狙う方が多いからだ。だが、今回は旧来の方法が使われ、しかもスパム経由を中心に、一気に広がることになったと思われる。ウィルス対策ソフトもすり抜けた。いろいろ攻撃者によいタイミングが重なり、我々ユーザーには悪いタイミングが重なったのだろう。


なお、Windows10のみ、この攻撃対象になっていないのは、Windows10では実行権限が厳格化されていたことが幸いしているのだと思われる。既にSMB1.0の実装は互換性のためのレガシー機能になっていたのも、Win10に被害が広がらなかった要因と言える。また、8.1などでも影響は少ないと思われる。

尚、WannaCry本体は、ただのドロッパー型のトロイの木馬であり、InternetOpenUrlAというAPIを用いて、指定されたWebサーバーアクセスを試みるようだ。そして、ランサムウェアをダウンロードしてくる。mssecsvc2.0というサービスを生成し、SMB1.0を使って共有されている他のクライアントにも感染を広げるが、最も有効な攻撃対象は今のところWindows7/2008までであると考えられる。
バックアップされたシャドウコピーファイルなども、綺麗に消すコマンド実行まで備えているため、暗号化されると手に負えなくなる。
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

まあ、セキュリティソフトが導入されていて、5月15日時点で最新版のDATファイルを導入しているなら、感染するリスクは低いと思うが、WindowsXPやVistaでは絶対に外部メールの開封確認をしないことを徹底した方がよい。
また、Hotfixを適用していない環境は、速やかに当該のHotfixを適用する必要があるだろう。
https://support.microsoft.com/ja-jp/help/4013389/title


<古いOSとセキュリティの問題>


Windowsでこれほどの感染や障害、システム停止が起きたのは久々だ。10年ぶりぐらいだろうか?
毎年、ちょろちょろはあるが、こういうケースはこのところでは珍しい。まあ、この手の攻撃は、大規模攻撃になるため、これまでの流れで言えば、一週間以内には終熄すると思われる。

だから、今日明日ぐらいまでに、企業の管理者が解決策を用意出来れば、ほとんど被害はなくなるだろう。

ただ、それでもWindows XPやVistaを使っている企業は、今後OSのアップグレードなど対策を迫られることになる。
今回の攻撃では、明らかに古いシステムが大量に残っていてパッチ未適用で信頼性が乏しいOSが、インターネットに接続されていることを示してしまった。

今回は、SMB1.0でマイクロソフトもすぐにXP向けのパッチを用意してくれたからよかったが、この好意をマ社が続けてくれるとは限らない。保守が終わったOSを使っている企業は、早急にOSの入れ替えや、どうしても必要ならクローズドネットワークに切り替えるための、検討しなければならなくなるだろう。


後は、とにかくセキュリティソフトやOSだけではなく、メールのフィルタリングルールの作り方を教えたり、フリーソフトではないメーラーなどを使うのも大事なことだろう。特に、重要な拠点では、OS添付がいくら優秀なソフトだからといっても、攻撃者はOS添付のような誰でも使うものの脆弱性の方が狙いやすいのである。

その辺りを、システム管理者は予算関係の責任者と交渉して、システムの安全に必要な部署に必要なソフトウェアの導入も進めなければいけない。

<Windows10の感染は今のことろなく、マイクロソフトには追い風>

今回マイクロソフトにはある意味で追い風である。何せ、Windows10は感染していないと発表できたからだ。
また、Windows8.1なども影響は大きくなかったと思われる。一方で今回は、7系が脆弱な領域に向かいつつあることを示した格好だ。そろそろ、Windows7を使っている企業は、次世代OSを考えなければいけない時期に来ていると示した訳だ。

今年は入れ替えを本来予定していなかった企業も、これをきっかけに入れ替えを検討するようになるのだろうか?
これも、大規模なセキュリティ攻撃が起きる度に発生する恒例行事である。


カスペルスキー セキュリティ 2017 3年5台版
KasperskyLabs Japan
2016-10-13

amazon.co.jpで買う
Amazonアソシエイト by カスペルスキー セキュリティ 2017 3年5台版 の詳しい情報を見る / ウェブリブログ商品ポータル







テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
世界規模のランサムウェア攻撃、WannaCryは何故ここまで広がったのか? なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる