WannaCry被害事例からわかること　Kaspersky

世界中の企業にて深刻な被害をもたらしているランサムウェアの１つ、トロイの木馬型WannaCryについて、これまで分かったことをまとめさせていただきます。

なぜWannaCryの拡散はこれほどまでに早いのか？

Windowsの既知の脆弱性を突く「エクスプロイト」を使用し、バックドアをダウンロードすることで、正規のユーザによる誤操作を必要とせずともシステムへの侵入を許してしまうのです。

例えば、社内で使用する1台のパソコンへWannaCryが感染してしまえば、そのパソコンの繋がっている社内LAN(ローカルネットワーク)を通り、そのLANを利用する他のパソコンへも感染させます。

このEternalBlueは、TCPポート445で通信します。

引用元:https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594/

上の図は、日毎のTCPポート445を用いた通信を表していますが、今年5月11日から三日間の急増が確認できます。

このことから、ワームが放たれたのは5月11日である可能性、もしくは、10日の夜である可能性が指摘されています。

EternalBlueは、SMBv1とSMBv2のパケットを不正利用するため、両方とも無効化すると感染を回避できます。

SMBv1を無効にしたとして、システムへの影響はほぼないと言えますが、一方で、SMBv2を無効にするとシステムに異常を招く可能性があると言われています。

キルスイッチとは？

WannaCryの拡散機能であるキルスイッチとは、攻撃対象の端末を感染させるためにハードコードされたWebサイトへアクセスし、アクセスに失敗した場合は攻撃を続行、成功した場合は攻撃及び感染を停止する仕組みを持ちます。

英国のマーカスハッチンズはこの仕組みを更に逆手に取り、Webサイトのドメインを登録しシンクホールサーバで応答できるよう設定を変え、WannaCryの拡散の抑制を成功させました。

以上のことから、キルスイッチを利用することで感染の抑制が可能であることが分かりますが、開発者及び攻撃者はなぜキルスイッチを追加したのか、Kaspersky(カスペルスキー)による見解は以下の通りです。

・攻撃者による、WannaCryの増殖を停止する手段を残しておく必要性があった。
・サンドボックスによるWannaCryの検知を回避するため。

現時点でのWannaCryの拡散

Kaspersky(カスペルスキー)によると、WannaCry攻撃の拡散開始より現在では6分の1までに減少しており、このことから、WannaCryの仕様に基づき作成された亜種による感染も収拾した可能性があるとのことです。

万が一感染しても、身代金を支払わないでください。
攻撃者の資金となる上に、身代金の要求に応じたところで、必ずしも暗号化されたデータの解除が行われるとは限りません。

社内LAN(ローカルネットワーク)にWannaCryが侵入すると、どのように拡散するのか？

当該マルウェアの一部の機能としてはたらくワームは、LAN内でセキュリティパッチが適用されていない他のWindows機器へ侵入し、SMBトラフィック(通信妨害)を引き起こします。

仕組みとしては、SMB及びTCP445ポートによってLAN IPSを検出、その際EternalBlue エクスプロイトを送信します。

EternalBlue以外に攻撃で用いられるエクスプロイトは？

現在確認されている攻撃手段として用いられるエクスプロイトはEternalBlueのみとのことです。

対策

・Microsoft社が配布している、各Windows Server 2003・Windows XP・Windows Vista・Windows 7・Windows 8・windows 10を対象としたセキュリティパッチによる脆弱性の修正、すなわちランサムウェアによるLAN内の端末への侵入を防止します。

・セキュリティパッチのインストールが不可能な場合は、ファイアウォールのポート445を閉鎖し、WannaCryによるネットワーク攻撃を防ぎ、感染を回避します。しかし、この対応をとると、ネットワークサービスが利用できなくなるため、一時的な処置でしかありません。

・ネットワーク内の全てのシステムが完全に保護されている状態であるか確認する必要があります。

・ネットワークの管理者権限を制限する必要性があるか、見直しましょう。

・Kaspersky(カスペルスキー)が無料で提供しているウイルス対策ソフトウェア(https://blog.kaspersky.co.jp/anti-ransomware-tool/12377/)の導入により、暗号化型ランサムウェアの脅威からパソコンを防御します。

引用元:https://blog.kaspersky.com/wannacry-and-embedded/16604/

Lazarusとは何か？

Lazarusは、平成28年にバングラディッシュ中央銀行から8,100万ドルを窃取した、今現在も世界中でサイバー攻撃をはたらく集団のひとつです。

Kasperskyはフォレンジックを通し、Lazarusの攻撃手法の復元に成功しています。

・侵入開始

→銀行内のシステムへの侵入可能とするルートは、遠隔操作を可能とし、Webサーバ等の脆弱性を突き感染させる方法、もしくは、攻撃対象である銀行員をLazarusが改ざんしたWebサイトへ誘導し、マルウェアに感染させる方法の二種類があります。

・いつでも侵入できる出口の設立

→他の銀行のコンピュータ機器を対象に攻撃しバックドアへ感染させることで、攻撃者はいつでもその機器へのアクセスが可能となります。

・内部の情報収拾

→攻撃者は時間をかけ攻撃対象のネットワークを監視し、認証情報が保存されているバックアップサーバやメールサーバ、組織の保有する全ての認証鍵が保管されているドメインコントローラ等重要情報を扱うエリアの特定をします。

・不正取引を実行

→金融機関専用のマルウェアの機能の一つである、セキュリティ機能に検知されない仕組みを用いてサイバー銀行犯罪を行います。

【中小企業情報セキュリティ.COMの見解】

wannacryについては各ベンダーで見解に違いがあります。ただ企業側としての対策はできることをやるしかありません。担当者が退職してしまった等で、現状に不安がある、担当だけどよく分からないといった不安がある場合は、遠慮なく弊社まで連絡を頂ければと思います。

WannaCry被害事例からわかること Kaspersky