ホーム > 企業情報 > ブログTOP > ランサムウェア「WannaCry」が世界規模で感染を拡大

ランサムウェア「WannaCry」が世界規模で感染を拡大

執筆者:チェック・ポイントのIncident Responseチーム 投稿日:2017/05/12
 

[更新:2017/05/14]
2017年5月12日、チェック・ポイントのIncident Responseチームは、ランサムウェア「WannaCry」の広範囲にわたる感染拡大を確認し、追跡調査を開始しました。すでに、複数のグローバル組織に対する大規模攻撃の発生が確認されており、SMB経由でネットワーク内部に感染被害が広がっています。現在、WannaCryを利用した複数の攻撃キャンペーンが同時発生しており、感染経路の特定は困難な状況となっていますが、過去24~48時間に発生した複数の攻撃キャンペーンにおいて、少なくとも以下の攻撃経路の使用が確認されています。

WannaCryが使用する複数の攻撃経路:

  1. SMBを利用した直接的な感染拡大: 同じ攻撃経路を使用する亜種や模倣版など複数のサンプルの存在が確認されています。チェック・ポイントが検証したすべてのサンプルは、SandBlastのアンチランサムウェアまたはThreat Emulationで検出およびブロック可能です。
  2. 電子メール内の不正なリンク。
  3. 不正な添付ファイル: 不正なリンクを含むPDFファイル。
  4. 不正な添付ファイル: パスワードで保護されたZipファイル。一連の感染活動を開始するPDFファイルが格納されています。
  5. RDPサーバに対するブルート・フォース・アタックでのログイン: ログイン後、同サーバにランサムウェアが仕掛けられます。

チェック・ポイントでは、WannaCryに対する次の保護機能を提供しています。

一般的な対策

  • Microsoftのセキュリティ情報MS17-010「Microsoft Windows SMBサーバに対する緊急セキュリティ更新プログラム(4013389)」(https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx)で報告された脆弱性の修正パッチをWindowsマシンに適用する。
  • ネットワークで共有されていない場所にバックアップを保存する。
  • パスワードで保護された添付ファイルをメール・ゲートウェイでブロックする。

チェック・ポイントのIncident Responseチームでは、WannaCryの動向を注視しつつ、お客様への支援を提供しています。

以降では、WannaCryによる攻撃の分析、レポート、防御に、チェック・ポイントの各ソリューションをどのように利用できるかを示します。ランサムウェア全般の詳細については、こちらをご覧ください。

SandBlast Threat Emulationのレポート

SandBlast Threat Emulationのレポート

SandBlast Threat Emulationのレポート

Check Point SandBlast Agentのフォレンジック機能

オンライン・レポートはhttp://freports.us.checkpoint.com/wannacryptor2_1/index.htmlでご覧いただけます。

Check Point SandBlast Agentのフォレンジック機能

攻撃ツリー

攻撃ツリー

Check Point Sandblast Agentのアンチランサムウェア機能

ランサムウェア感染をブロックおよび復旧するSandblast Agentの機能を動画で紹介します。