世界規模のランサムウェア攻撃でMicrosoftが異例の「Windows XP」パッチ公開

te_2017-0514

思った以上にこのランサム(身代金)ウェアの被害が広がっていて、尚且つ日本でもその存在が確認されたというから週明けは十分な注意が必要とされる。

今回のなにが異常かといえば、既にサポートを終了しているWindows OS向けの修正パッチをMicrosoftが緊急で配布していること。» 旧Windows向け更新プログラム KB4012598(※1)

とりあえずこれに該当するOSを使用しているなら、早急にセキュリティパッチを当ててほしい。

英国の医療機関では診療や予定されていた手術までも中止(※2)になるなど被害は拡大している模様。

この被害は相変わらず何も対策をしないままでネットワークに参加しているXP等が感染源となるケースが主で、多くの企業・団体に集中しているようだ。

XPは有償サポートによる対応でのみ特定の企業や団体を対象として限定的にパッチを提供するサービスもあり、英国やオランダの政府機関ではMicrosoftと有償契約を結ぶことで実質的なサポート期間の延長を実現している。

ただ一企業単位でここまでのサポートはMicrosoftもしてくれないのが現状だ。

今回のランサムウェア「WannaCry」で壊滅的な被害を受けている企業も非常に多く、それらの感染源がXP等の既にサポート期間が終了したOSによるものだったためMicrosoftが緊急対応している。

この感染のケースはインターネットに繋がる環境下で、組織のネットワークにXP等が参加している状態で特定のフォルダを共有していれば、サーバを始めそのネットワーク内で同じフォルダを共有している他のクライアントPCすべてに感染リスクが生じる。

Windowsでは管理者共有というネットワーク用の機能があり、このサービスが動いている限り同じネットワーク上にあるクライアントPCは、セキュリティパッチを適用しない限りWannaCryを回避する方法がない。

便宜上ネットワークのフォルダを共有しているという前提で説明したが、この管理者共有はデフォルトで設定されているので特定のファイルを共有していなくても、同じネットワーク上に存在するだけでWannaCryに感染してしまうということを念頭に置いてほしい。

なので週明けは通常業務を行う前にネットワーク管理者は、該当するOSのセキュリティパッチを必ず適用(※3)するように、社内で注意喚起を行うことが何よりも重要だろう。

また今回セキュリティパッチの緊急配布に該当しなかったWindows 10などのOSではどうだろうか?

まずWindows 10については毎月のWindows Updateにより自動的にパッチを更新・適用するため、今回は特段変わった操作を行う必要はない。

このWindows Updateの設定を変えていなければ、3月のUpdate時に修正パッチが配布されており自動的に適用されているはずだ。

情報セキュリティベンダー各社の発表によると、4月以降メール本文などに書かれたアドレスをクリックすると感染(※4)する手口で全世界に拡散した。

このWannaCryに感染すると、感染したクライアントPCやサーバ上で共有している重要ファイル(オフィス文書や表計算・画像・ビデオ・圧縮ファイルなど)を暗号化して開けないように鍵をかけ、この暗号鍵を300ドルの身代金として支払いをビットコインで要求するメッセージを表示するという。

現在のところ確認されている感染源は、メール本文に書かれたURLをクリックすることで感染するというオーソドックスなものだが、いまはメールに記載されているURLにカーソルをポイントすると、プレビュー用のサムネイルを表示させるメールアプリもある。

つまり本人がファイルを開いたという認識が無くとも、些細なサムネイル機能や何気ないマウス操作によってパッチを当てていないOSすべてに感染リスクが生じるということ。

また識別が非常に難しいケースではDropboxのURLをクリックすると感染するケースが確認されたという。企業などでDropboxをクラウドストレージとして使用しているケースも多いと思うが、社内用のDropboxのURLと勘違いしてクリックしてしまうケースも想定される。

この辺りの対応の仕方も、ネットワーク管理者から社内に警鐘を鳴らすことが必要だろう。

このWindowsの脆弱性を突いた世界的規模のサイバー攻撃について、日本のニュースメディアは世界の主要なニュースメディアが速報で報じてから遅れること実に半日以上経過して、ようやくこの件を報じた。

つまり世界中のあらゆる機関への無差別、云わばグローバルなサイバーテロに対して、国民の危機意識の薄さだけが浮き彫りとなった形だ。

ただ不運だったのは14日早朝、北朝鮮がまた飛翔体を日本海目掛けて発射する威嚇行為を行ったため、メディアの報道は北朝鮮に関する速報とニュース一色で埋め尽くされてしまったこと。

仮にこのサイバー攻撃により企業のネットワークがダウンする事態となれば、その規模にもよるがシステムの復旧には多少時間がかかるだろう。2~3日で復旧できればまだ良い方でそのシステムが大規模であれば1週間以上仕事にならないケースも十分に考えられる。

デロイトトーマツサイバーセキュリティ先端研究所の岩井博樹主任研究員は「日本で大きな被害が確認されていないのは週末に入っていたことも一因では?」とした上で「週明けメールなどの取り扱いには十分に気を付ける必要がある」と指摘している。

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
以下の対策を早急に実施してください。
1.不審なメールの添付ファイルの開封やリンクへのアクセスをしない
2.脆弱性の解消 – 修正プログラムの適用
3.ウイルス対策ソフトの定義ファイルを更新する
4.身代金を要求されても絶対に支払わず下記まで通報する
感染してしまった場合、以下の窓口へご相談ください。
– IPA
情報セキュリティ安心相談窓口
https://www.ipa.go.jp/security/anshin/
Tel: 03-5978-7509
(なお、受付時間は平日の10:00~12:00および13:30~17:00とさせていただいています。)
E-mail:anshin@ipa.go.jp
– JPCERT/CC
JPCERT コーディネーションセンター インシデント対応依頼
https://www.jpcert.or.jp/form/#report
Tel: 03-3518-4600
Email:info@jpcert.or.jp
記事:https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

記事:http://www.itmedia.co.jp/news/articles/1705/14/news016.html
出典:http://www.itmedia.co.jp/
引用:WannaCry対策、MSがWindows XPやServer 2003にも異例のパッチ提供(※1)
http://ascii.jp/elem/000/001/482/1482839/
引用:手術を中止、日産工場も影響…サイバー攻撃の被害広がる(※2)
http://www.asahi.com/articles/ASK5F5R94K5FUHBI018.html
引用:Microsoft Update カタログ – 検索結果 “KB4012598″(※3)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
引用:「週明け、日本でもメールに注意」…専門家指摘(※4)
http://www.yomiuri.co.jp/national/20170513-OYT1T50129.html
加筆:2017/05-15/15:21訂正

TAKEMOTO, Toshio
TAKEMOTO, Toshio
わたしはPsychopathでありAlcoholismと戦っています

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください