「ランサムウェア対策」に関連する提供サービス

  • 本文プリント
ランサムウェア

ランサムウェアWannaCryとは

攻撃の流れ

wannnacryの攻撃の流れ

WannaCry(別名WannaCrypt、WannaCrypt0rなど)は、世界各地で被害が相次いでいるランサムウェアの一種です。ランサムウェアは身代金要求型のコンピュータウィルスで、感染したコンピュータ上のファイルを暗号化し利用できなくしたうえで、暗号解除のための金銭を脅迫し要求する、金銭を得ることが目的であると言われています。
WannaCryの初期の感染経路は諸説ありますが、悪意のあるファイルを実行してしまったコンピュータはWindowsOSの脆弱性(MS17-010)を利用されることで感染し、そのコンピュータ上のファイルは暗号化され、復号と引き換えにビットコインの支払いを求められます。

さらに感染してしまったコンピュータはネットワーク上の他のコンピュータに感染しようと試みます。このとき対象のコンピュータにもMS17-010の脆弱性があった場合(バックドアツールDoublePulsarにすでに感染している場合も)、感染が成立します。
このようにインターネットに直接接続されたコンピュータやLANなど構内のネットワークを介して、WindowsOSの脆弱性(MS17-010)のあるコンピュータを探索し、自身をコピーすることで感染を拡大していくのが従来のランサムウェアと大きく異なる特徴です。

WannaCryによる被害の状況

世界中の被害

WannaCryによる攻撃は2017年5月12日頃から開始され、米ホワイトハウスの発表によると世界150か国以上、およそ30万端末が被害を受けたといわれており、わずか数時間~数日で爆発的に拡散したとみられています。イギリスでは国民保健局や自動車工場で一部システムが停止する被害が発生しており、ランサムウェアによる金銭的な被害のみならず実際の業務が停止するという深刻な被害が発生しました。
国内ではサイバー攻撃対策を支援している社団法人「JPCERTコーディネーションセンター」によると、5/13午前までの約12時間で、600拠点・2000端末が感染と発表され、また警視庁発表によると5/19までに25件の感染報告がされています(内訳個人ユーザ 18件、企業 5件、行政機関 1件、総合病院 1件)中でも、国内大手電機メーカーではメールなど一部のシステムが停止してしまうなど、深刻な被害が報じられています。

今回のWannaCryによる被害の特徴として、単に情報が暗号化され喪失する、金銭を窃取されるという脅威だけでなく、システムなどが使用できなくなり業務が停止する、あるいは外部との対応の為に社内が混乱するといった、企業において極めて深刻な被害を及ぼす点になります。

対策が必要なケース


その他詳細はこちら

WannaCryに直接的に感染する可能性があるのはMS17-010の脆弱性が存在するWindowsOSのコンピュータになります。同OSを利用されている場合は3月15日にマイクロソフトから提供されたMS17-010の適用を行ってください。(5/15にWindowsXPなどサポートが切れたOSを対象とした緊急の更新プログラムも公開されています)
ただしWannaCryに限らず、引き続き亜種や新たに見つかる脆弱性を狙った大規模サイバー攻撃が行われる可能性は十分に考えられます。セキュリティアップデートの適用管理が行えていない、ウイルス対策製品の利用が限定的である、コンピュータ機器持ち込みの管理がなされていないなど、使用しているIT環境の管理が不十分な組織の場合は、脆弱性を狙ったランサムウェア被害にあうリスクが極めて高いと言えます。

SBTが推奨する恒久的な対策

ランサムウェアの被害を防ぐ二つの戦略

一般的な予防策

  • 重要なデータのバックアップは定期的に行う
  • Windows Update を行い、常に最新の更新プログラム・パッチを適用する
  • セキュリティソフトを最新の状態にし、定期的なチェックを行う
  • 公開サーバーは、ファイアウォール等の設定を確認し、最小限のポートのみに限定し公開する
  • Java, Flash Player, Adobe Readerなど利用中のソフトのアップデートは随時行う

もし感染してしまったら

ファイルが暗号化されてしまったら

WannaCryはネットワークに接続された他の端末への感染を試みます。速やかに他の端末に繋がっているネットワークから隔離してください。
感染する様子はこちら(SBT プリンシパルセキュリティリサーチャー 辻伸弘のツイッターより)

場合によっては、復号ツールで復元できる場合もありますので、再起動は行わない方が良いでしょう(復号する際に、PC内に残ったメモリ内の情報から復号の手がかりを取得できることがあるため。再起動するとメモリが消去されるので復号は難しくなります)

復号できない場合は、潔く諦めてクリーンインストールを行ってください。バックアップデータが別で残っている場合には、そこからデータの復旧を行ってください。
※常時接続されている外部HDD等へのバックアップデータは既に暗号化されている場合がありますのでご注意ください。

金銭の支払いに応じるべきか?否か?

金銭の支払いに応じても、データが復元する保証はありません。暗号化されたまま、金銭まで支払い、二重のダメージを負う可能性があります。
また、支払いに応じると、次の標的にされ、さらに新種・亜種のマルウェアを送り込まれる危険性もあります。
それでも、暗号化されたデータと要求金額を天秤にかけ、前者の価値が上回ると判断した場合は、上記リスクを鑑みた上で、あくまでも被害者の判断に委ねられることになります。
どちらの選択になったとしても、危険にさらされている事実を認識し、早急に次の被害に遭わないための対策を取ることをお勧めします。

ランサムウェア対策に興味をお持ちのお客様へ

ランサムウェア(身代金ウイルス)による攻撃を未然に防ぐ、または被害を最小限にとどめることに効果が高いソリューションの一覧です。

Cybereason - エンドポイント型サイバー攻撃対策 セキュリティソリューション
あなたは本当に攻撃されていないと言い切れますか?

Cybereasonは振る舞い検知により、未知や既知のランサムウェアからの攻撃を防ぐソリューションです。その他、マルウェアによる攻撃の被害を最小限に抑えることも可能です。

詳しく見る

ForeScout CounterACT - 脆弱性の可視化・対策ソリューション セキュリティソリューション
ネットワークを「見える化」して、エージェントレスで「管理」する次世代のNACソリューション

IPSや標的型メール対策ゲートウェイとは異なり、ネットワーク接続を制御する技術を応用した標的型攻撃対策やBYODを実現します。

詳しく見る

制御システム向けセキュリティ対策 - IoTセキュリティソリューション セキュリティソリューション
産業系制御システムへのサイバー攻撃の脅威が高まっている!

制御システム向けセキュリティ対策とは、従来のOA環境とは異なる制御システムを持つ業種において、ネットワークの可視化によりIoTのリスクを軽減するソリューションです。

詳しく見る

CSIRT構築支援サービス セキュリティソリューション
サイバー攻撃が悪質化・巧妙化し、被害も深刻化している現在、侵入を前提とした検知やIR体制などが、企業に求められています。

CSIRT構築支援サービスとは、SBTのこれまでの経験を活かし無理なく機能するCSIRTを支援するシミュレーション(体験型)のコンサルティングサービスです。

詳しく見る

  • 前へ
  • 1
  • 次へ

お問い合わせ・資料請求

このサービスに関する資料請求やお見積り、
ご不明点など、お気軽にご相談ください。

このサービスに関するお問い合わせはこちら

その他のサービスに関するご相談は「お問い合わせ・資料請求先一覧」からお問い合わせください。

お問い合わせ・資料請求

このサービスに関する資料請求やお見積り、ご不明点など、お気軽にご相談ください。

このサービスに関するお問い合わせはこちら
  • SBT Talents
  • プライバシーマーク制度

  • ISMS認証登録範囲:
    本社、汐留、大阪、
    名古屋、福岡

ページトップへ