暗号化型ランサムウェア「WannaCry」が過去最大級の猛威を振るい、世界中の個人と企業に影響を及ぼしています。Kaspersky LabはすでにWannaCryの基本情報に関する記事を公開しましたが、今回は、特に企業が取るべき対策に焦点を当てます。WannaCryとは何か、どのように拡散するのか、どういった危険があるのか、防ぐにはどうすればよいのか、把握することが急務です。
すぐに取るべき対策
トロイの木馬であるランサムウェア「WannaCry」がこれほど早く拡散した理由の1つは、Windowsの既知の脆弱性を突くエクスプロイトを利用しているため、利用者側での操作(ミス)を一切必要とせずにシステムへ入り込むことができる点にあります。1台のコンピューターに感染したWannaCryは、ローカルネットワーク内の他のコンピューターへと感染拡大を試みます。
したがって、何よりも最初にすべきことは、脆弱性の修正です。以下の対策を講じてください:
- Microsoftのパッチをインストールしてください。現行の最新OSのWindows 10用だけでなく、過去のバージョンであるWindows 8、7、Vista、Windows XP、Server 2003についてもパッチが提供されています。このパッチは、ランサムウェアがローカルネットワーク内のシステムへ感染に利用する脆弱性を修正します。
- 何らかの理由でパッチをインストールできない場合は、ファイアウォールでポート445を閉じてください。この措置は、WannaCryによるネットワーク攻撃をブロックし、感染を防止するためのものです。ただし、このポートを閉じると多くの重要なネットワークサービスが停止になるため、あくまで一時的な処置と考えてください。
- ネットワーク内の全システムが確実に保護された状態にしてください。1台のコンピューターが感染すると、そこから他のすべてのコンピューターに感染が広がる可能性があります。パッチの適用やポート445のクローズは、全システムに対して行いましょう。
- Kaspersky Anti-Ransomware Tool for Businessを導入するのも、ひとつの手段です。このツールは暗号化型ランサムウェアからの保護を目的としており、無料でご利用いただけます。また、一般的な他社セキュリティ製品とも共存可能です(カスペルスキー製品が導入されている環境では、ご利用になれません)。
カスペルスキーでは、WannaCry(ランサムウェア)による攻撃への対策が可能な製品を提供しています。製品詳細につきましては、各製品ページをご覧ください。
- エンドポイントセキュリティ製品:Kaspersky Endpoint Security for Windows
多層防御技術により、WannaCryを検知、不正な攻撃を阻止します。またシステムウォッチャーにより、未知のマルウェアによる攻撃を未然に防ぎます。 - 脆弱性&パッチ管理製品:Kaspersky Vulnerability and Patch Management
PCやサーバーのMicrosoft製品とサードパーティアプリケーションの脆弱性をリアルタイムに把握し、緊急度に応じたパッチ適用作業の自動化を実現します。WannaCryのような脆弱性を悪用した攻撃を防ぐ手段として有効です。
すでにカスペルスキー製品をご利用の場合
カスペルスキー製品は、WannaCryを含め、各種ランサムウェアを検知およびブロックします。しかし、不測の事態に備え、追加の予防策を講じることをお勧めします。
- Microsoftのパッチが適用されていることを、今一度確認しましょう。
- 導入済みのカスペルスキー製品にシステムウォッチャーモジュールが含まれていること、また、このモジュールが有効化されていることを確認してください。システムウォッチャーは、システムをプロアクティブに保護し、悪意ある変更のロールバックにも対応しています。
- ローカルネットワークに感染事例があった場合は、簡易スキャンを開始してください。このタスクは自動的に起動されますが、できるだけ早く手動で開始した方がよいでしょう。理論的には、このマルウェアが自身をシステムにインストールしたがファイルの暗号化はまだ始まっていない状態である可能性も考えられます。
- スキャン中に「MEM:Trojan.Win64.EquationDrug.gen」が検知されたら、これを削除してからシステムを再起動してください。
ネットワーク内に組み込みシステムが存在する場合
組み込みシステムは十分に保護されていないことが多く、WannaCryの攻撃を特に受けやすいと言ってよいでしょう。また、ATMやPOSシステムは専用のソリューションを使って保護されているのが一般的ですが、情報端末のようなシステムの保護は見過ごされがちです。しかし、こうしたシステムの復旧には莫大なコストがかかります。何百台も運用している場合は、なおさらです。
対策としては、デフォルト拒否方式を採用する製品の使用をお勧めします。組み込みシステム専用に開発されたKaspersky Embedded Systems Securityは、効果が高くリソース効率も良い製品です。
WannaCry緊急ウェビナー
—————————-
※本ウェビナーは終了しました。
ウェビナーの録画は、こちらからご覧いただけます。
—————————-
ランサムウェア WannaCryに対する理解を深め、攻撃阻止の一助としていただけるよう、当社では企業の皆さまを対象に緊急ウェビナーを開催する運びとなりました。WannaCryがどのように防御を破り、攻撃を続行するのか、Kaspersky Labのエキスパートおよびゲストのリサーチャーより最新の情報をお伝えします。このほか、感染しているかどうかを判断する方法、企業のネットワークやエンドポイントを守るためにとるべき対策を説明するとともに、WannaCryとLazarusグループとの関連性についても触れる予定です。
ウェビナーの詳細は、以下をご覧ください。
- 開催日時:2017年5月17日(水)日本時間23:00~
※米国東部夏時間10:00~ - スピーカー
ファン・アンドレス・ゲレーロサーデ(Juan Andrés Guerrero-Saade):シニアセキュリティリサーチャー、Kaspersky Labグローバル調査分析チーム(GReAT)
マット・スイーシェ(Matt Suiche):Comae Technologies
※参加無料
※英語での実施となります
※2017年5月17日更新:ウェビナーのページへのリンクを更新しました。
※2017年5月18日更新:ウェビナーページへのリンクを取り下げ、ウェビナー録画へのリンクを追記しました。