WannaCryについてベンダによる注意喚起

昨今ニュースでも報道されている、WannaCryの概要及び注意喚起が各ベンダによって実施されています。

Kaspersky(カスペルスキー)

WannaCry(別称WannaCrypt)には二段階あるとされています。

最初に感染と増殖を目的としたエクスプロイト、次に感染した端末にエンクリプター(暗号化装置)をダウンロードするといった構成です。

他の暗号化と異なる主な点として、他の端末におけるエンクリプター(暗号化装置)に関わる感染では、ユーザのセキュリティに対する意識や誤作動によるマルウェアへの感染が一般的ですが、WannaCryはユーザによる端末の操作がセキュリティ意識を前提に、適正なものだとしても感染してしまうとのことです。

WannaCry製作者は、Microsoft社による平成29年3月14日付けで配布したセキュリティパッチMS17-010(別称EternalBlue)の脆弱性の悪用により、PC端末へ不正なアクセスすることでエンクリプター(暗号化装置)をダウンロードさせることを目的としているとのことです。

Kaspersky研究所のGReATによると、この脆弱性にセキュリティパッチを当てても、暗号化プログラムが始動しかねないと指摘しています。

WannaCryが端末へ不正に侵入すると、他の端末へ自身を増殖及び感染させ、脆弱性を持つ端末を検知、それら端末の持つデータを攻撃し暗号化します。

1台の端末への感染が成功してしまえば、WannaCryによる増殖と感染要素により、感染端末と同じネットワークを使用している他の端末の暗号化を可能とするため、大手企業を狙った攻撃が増えています。

感染後は他のマルウェア同様、データの暗号化を解く代わりにアメリカドルに換算すると約$600ほどの身代金(Bitcoin)を要求します。

引用元:https://blog.kaspersky.com/wannacry-ransomware/16518

TrendMicro(トレンドマイクロ)

WannaCryはCVE-2017-0144の脆弱性をWindows SMBの遠隔操作の実行により可能とするリスク、及び、DropboxのURLを悪用し拡散するリスクの２つが挙げられます。

主にRANSOM_WANA.AもしくはRANSOM_WCRY.Iとして検出されているとされています。

平成29年4月にハッカー集団によってNSA(National Security Agency:米国国家安全保障局)から盗まれたとされる攻撃コード及びハッキングツールとして用いられるCVE-2017-0144の脆弱性を利用することにより、脆弱性を持つSMBサーバ上にユーザの意図に反したランサムウェアファイルのダウンロード及びその実行をし、感染した端末上のファイルの拡張子が「WNCRY」へ改ざん・暗号化されます。

引用元:http://blog.trendmicro.co.jp/archives/14873

IPA-情報処理推進機構

引用元:https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

業務開始前に実施する対策を以下のように喚起しています。

→不審な電子メールに添付されたファイルを開封・リンクへアクセスしないこと。

→Microsoft社の配布するセキュリティパッチの適用。

→ウイルス対策ソフトのウイルス定義ファイルを最新版にアップデートする。

McAfee(マカフィー)

引用元:https://kc.mcafee.com/corporate/index?page=content&id=KB89335

端末が感染した際、ダウンロードされたファイルの拡張子が「.wnry」「.wcry」「.wncry」「.wncryt」に改ざん及び暗号化され、ユーザの端末画面にこのような背景が表示されます。

引用元:https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Symantec(シマンテック)

引用元:

https://www.symantec.com/security_response/writeup.jsp?docid=2017-051310-3522-99

ESET(イーセット)

引用元:https://www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29