現在、WannaCryを利用した複数の攻撃キャンペーンが同時発生しており、国内においても複数の被害が確認されSMB(Microsoft Server Message Block)経由でネットワーク内部に感染被害が広がっています。
WannaCryが使用する複数の攻撃経路
1 SMB(Microsoft Server Message Block)を利用した直接的な感染拡大:同じ攻撃経路を使用する亜種や模倣版など複数のサンプルの存在が確認されています。チェック・ポイントが検証したすべてのサンプルは、SandBlastのアンチランサムウェアまたはThreat Emulationで検出およびブロック可能です。
2 電子メール内の不正なリンク
3 不正なPDFファイルの添付:不正なリンクを含むPDFファイル
4 不正なZipファイルの添付:パスワードで保護されたZipファイル。一連の感染活動を開始するPDFファイルが格納されています。
5 RDPサーバに対するブルート・フォース・アタックでのログイン:ログイン後、同サーバにランサムウェアが仕掛けられます。
WannaCryの活動分析
以降では、WannaCryに対する攻撃の分析、レポートを紹介します。また、ランサムウェア全般の詳細については、次のURLをご覧ください。( (リンク ») )
SandBlast Threat Emulationサンドボックスの検査レポートによる活動分析
[画像1: (リンク ») ]
[画像2: (リンク ») ]
Check Point SandBlast Agentのフォレンジック機能による活動分析
詳細なオンライン・レポートは (リンク ») でご覧いただけます。
[画像3: (リンク ») ]
攻撃ツリー
[画像4: (リンク ») ]
Check Point Sandblast Agentのアンチランサムウェア機能に観察
ランサムウェアの暗号化とランサムウェア感染をブロックおよび復旧するSandblast Agent機能による復旧の動作を動画で紹介します。( (リンク ») )
推奨される一般的な対策
● Microsoftのセキュリティ情報MS17-010「Microsoft Windows SMBサーバに対する緊急セキュリティ更新プログラム(4013389)」( (リンク ») )で報告された脆弱性の修正パッチをWindowsマシンに適用する
● ネットワークで共有されていない場所にバックアップを保存する
● パスワードで保護された添付ファイルをメール・ゲートウェイでブロックする
チェック・ポイントでは、WannaCryに対する次の保護機能を提供しています。
● ネットワーク保護機能(SandBlast)
Threat ExtractionおよびThreat Emulation
アンチボット/アンチウイルス
● エンドポイント保護機能(SandBlast Agent)
アンチランサムウェア
Threat ExtractionおよびThreat Emulation
アンチボット/アンチウイルス
アンチマルウェア
● IPS保護機能(フラット・ネットワークでは使用不可)
Microsoft Windowsにおける、EternalBlueによるSMB経由でのリモート・コード実行
(リンク »)
Microsoft WindowsにおけるSMB経由でのリモート・コード実行(MS17-010: CVE-2017-0143)
(リンク »)
Microsoft WindowsにおけるSMB経由でのリモート・コード実行(MS17-010: CVE-2017-0144)
(リンク »)
Microsoft WindowsにおけるSMB経由でのリモート・コード実行(MS17-010: CVE-2017-0145)
(リンク »)
Microsoft WindowsにおけるSMB経由でのリモート・コード実行(MS17-010: CVE-2017-0146)
(リンク »)
Microsoft WindowsにおけるSMB経由での情報漏洩(MS17-010: CVE-2017-0147)
(リンク »)
チェック・ポイントのIncident Responseチームは、WannaCryの動向を注視しつつ、お客様への支援を提供しています。
WannaCry攻撃キャンペーンの最新情報はチェック・ポイントのブログをご確認ください。
(リンク »)
(リンク »)
チェック・ポイント プレスリリースURL
(リンク »)
■チェック・ポイントについて WELCOME TO THE FUTURE OF CYBER SECURITY
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、あらゆる規模の組織に対応する世界トップクラスのセキュリティ・リーディング・カンパニーです。業界随一の検出率を誇る先進のセキュリティ対策により、お客様のネットワークをマルウェアなどの多岐にわたるサイバー攻撃から保護します。大規模ネットワークからモバイル・デバイスまでを保護する包括的なセキュリティ・アーキテクチャに加え、直感的で使いやすい総合的なセキュリティ管理ソリューションを提供しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( (リンク ») )は、1997年10月1日設立、東京都新宿区に拠点を置いています。
プレスリリース提供:PR TIMES (リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。