インフラセキュリティの処方箋

第34回 2017年5月~WordPressの脆弱性,ランサムウェアWannaCry騒動とその後

この記事を読むのに必要な時間:およそ 2.5 分

WannaCryは,何らかの契機で感染したコンピュータを拠点にして,他のコンピュータに感染を拡大する

WannaCryは,MS17-010の脆弱性を利用して,他のコンピュータへの感染拡大を試みます。この脆弱性自体はプロトコルの脆弱性ではなく,Windowsの実装上の脆弱性のため,感染対象は修正ファイルを適用していないWindowsサーバやクライアントとなります。ただし,Windows 10はWannaCryのターゲットになっていない(もしくは実装上の理由によるもの)らしく,影響を受けません。

Windows系OSではなく,UNIX系OS+Samba等で構成されたネットワークストレージ(NAS)などは,少なくともMS17-010の脆弱性を突いた攻撃の影響を受けません。

対策は,MS17-010の修正を適用するのがベスト。次善の策はSMBパケットのフィルタとSMBv1の無効化

今回の感染が,MS17-010の脆弱性経由であり,かつ感染した他のコンピュータからの感染拡大を受ける可能性があることを考えると,修正ファイルの適用を行い,MS17-010の脆弱性をなくすのがベストです。

しかし,何らかの理由で修正ファイルの適用を行えない場合は,修正ファイルを適用していないコンピュータに到達するSMBパケットをフィルタする,SMBv1を無効にするなどの対応を行うことで,影響を緩和することが可能です。

Windows 8以降では,SMBv1をコントロールパネルから無効にすることが可能です。具体的には,⁠プログラムと機能」を開き,ウィンドウ左部にある「Windowsの機能の有効化または無効化」をクリックして図4)⁠開いたウィンドウで「SMBv1/CIFSファイル共有のサポート」に入ってるチェックを外し,無効化します図5)⁠

図4 コントロールパネル設定1

図4 コントロールパネル設定1

図5 コントロールパネル設定2

図5 コントロールパネル設定2

Windows 7ではこのような設定を行えないため,レジストリを操作+再起動するなどして,SMBv1を無効にする必要があります。

 

SMBパケットのフィルタについては本稿では割愛しますが,Windowsファイアウォール等の設定を変更することにより可能です。

こういう機会に修正ファイルやファイアウォールによるフィルタ状況の確認を

本稿をお読みいただいている方々の中には,⁠自分のところの環境がどうなっているか」を気にする方々も多いことと思います。

WannaCryの未然防止の観点でやるべきことは,まず「MS17-010が適用されているか」を確認することであり,適用されているかどうか怪しい状況であれば,数が少ない場合には調査の上未対策のものを対策するなり,外部からの攻撃パケットが直接通らない,もしくはWindowsファイアウォール設定変更/SMBv1の無効化を行うなどして脆弱性の影響を緩和の上で,修正ファイルの適用などの対策を進める必要があります。

3月に修正ファイルが提供された脆弱性が,ランサムウェアという(攻撃者にとって)実用度が非常に高いマルウエアの感染経路に使われたという現実がある以上,修正ファイルの適用を第一に考えて対策するのがベストと言えます。

なお,以前記事で,⁠最終的にお金を支払うこともやむを得ない」として最善を探るのが,ランサムウェアに感染してしまった際の対処ポイントといえるでしょう」と書きましたが,WannaCryについてはこの考え方はあてはまりません。というのも,WannaCryに存在するバグのため,お金を誰が払ったかを犯人が識別できず,払った人に対して復元方法を提供できないためです。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit