概要
2017 年 5 月 12 日 (米国時間) より、マイクロソフトは、イギリスを始めとする複数の国の医療機関やその他の企業に影響を及ぼすランサムウェアによるサイバー攻撃を確認しています。このランサムウェアは Wanna Cryptor マルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry などと呼ばれる) の亜種であると思われます。日本でも攻撃報告を確認しており、マイクロソフトでは昼夜を徹して本件の影響を受けた全世界のお客様の支援を進めています。
このブログでは、WannaCrypt の概要およびお客様が必要なアクションを記載しています。
対策
MS17-010 の適用
このマルウェアはメールなどのソーシャル エンジニアリング手法を使い拡散を狙います。また、CVE-2017-0145 を悪用し細工したパケットを SMB サーバーに送ることで拡散します。このランサムウェアは 2017 年 3 月に修正された SMB v1 の脆弱性 (MS17-010) を利用するため、お使いのコンピューターが最新のセキュリティ更新プログラムをインストール済みであることを確認してください。(※ Windows 10 Creators Update (バージョン 1703) は対策済みのため MS17-010 を適用する必要はありません)
Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
また、お客様の影響の大きさを考慮し、すでにサポートが終了している Windows XP, Windows 8 および Windows Server 2003 についても例外的にセキュリティ更新プログラムを公開しています。
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
なお、現時点では WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています。
2017 年 5 月 24 日追記:
MS17-010 がインストールされたことを確認する方法を紹介するサポート技術情報が利用可能になりました。ご参考ください。
WSUS、SCCM をご利用の環境で適用状況を確認する方法を以下のブログでご案内しています。
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)
[WannaCrypt] MS17-010 の適用状況の確認方法について (SCCM)
マルウェア対策製品を最新にする
5/12 (米国時間)、マイクロソフトのマルウェア対策製品に対して更新された定義ファイルを提供しています。このランサムウェアは Ransom:Win32.WannaCrypt として検出されます。
各社ベンダーから提供されるマルウェア対策製品をお使いのお客様は、各ベンダーの情報を参考に、本マルウェアへの対応がなされていることを確認してください。
追加の保護策としての SMBv1 の無効化
攻撃手法はさらに進化する可能性もあります。追加の多層防御対策が追加の保護を提供する場合もあります。また、MS17-010 の適用ができない環境においては、以下の回避策が役立つ場合があります。(設定による影響もありますので一時的ないしは検討のうえ設定してください)
SMBv1 を無効にする
Windows Vista 以降を実行しているお客様の場合
マイクロソフト サポート技術情報 2696547 を参照してください。
Windows 8.1 あるいは Windows Server 2012 R2 以降を実行しているお客様向けの代替の方法
クライアント オペレーティング システムで:
- [コントロール パネル] を開き、 [プログラム] をクリックし、次に [Windows の機能の有効化または無効化] をクリックします。
- Windows の設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オフ” にし、 [OK] をクリックしてウィンドウを閉じます。
- コンピューターを再起動します。
サーバー オペレーティング システムで:
- [サーバーマネージャー] を開き、 [管理] メニューをクリックし、 [役割と機能の削除] を選択します。
- 設定画面で [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オフ” にし、 [OK] をクリックしてウィンドウを閉じます。
- コンピューターを再起動します。
回避策の影響: 標的のシステム上で SMBv1 プロトコルが無効になります。
回避策の解除方法: 回避策の手順に戻って、 [SMB1.0/CIFS ファイル共有のサポート] のチェックボックスを “オン” にし、SMB1.0/CIFS ファイル共有のサポート機能を有効化します。
その他の推奨するアクション
- 最優先事項は、マルウェア対策ソフトがマルウェアを検出できることです。最新の定義ファイルになっていることを確認してください。
- 利用者が、たとえ見かけが Office や PDF などの見慣れたアイコンであっても疑わしい添付ファイルはクリックしないという正しい知識を持っていることを確認してください。添付ファイルを開くことでアプリケーションが実行されますがユーザーは実行を許してはいけません。不確かな場合はコンピューターに詳しい人に確認するようにしてください。
- 新規の脅威や検体を検出したと思われる場合、可能な場合は、検体を Microsoft Malware Protection チームに送付してください。https://www.microsoft.com/en-us/security/portal/submission/submit.aspx
FAQ
お客様からお問い合わせの多い項目について掲載しています。
Q. MS17-010 を適用する際に、事前に適用しておくべき前提の KB はありますか。
A. Windows 8.1、Windows Server 2012 R2 の更新プログラムでは、事前に KB2919355 の適用が必要です。KB2919355 の詳細については、下記のサポート技術情報をご参照ください。
Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラム: 2014 年 4 月
なお、各 OS とも最新のサービス パックが適用されていることが前提です。
Q. SMB 1.0 が現在有効になっているか確認する方法はありますか。
A. 以下の方法で確認できます。
SMB サーバー側:
(Windows Vista, 7 / Windows Server 2008, 2008 R2 の場合)
下記のサポート技術情報をご参照ください。
Windows と Windows Server で SMBv1、SMBv2、SMBv3 を有効または無効にする方法
(Windows 8 / Windows Server 2012 以降の場合)
PowerShell の Get-SmbServerConfiguraiton コマンドレットを利用して確認できます。
==========
PS C:\WINDOWS\system32> Get-SmbServerConfiguration | fl enablesmb*
EnableSMB1Protocol : True <<<<< True の場合、SMB 1.0 が有効化されています。
EnableSMB2Protocol : True
==========
SMB クライアント側:
==========
C:\Windows\system32>sc query mrxsmb10
SERVICE_NAME: mrxsmb10
TYPE : 2 FILE_SYSTEM_DRIVER
STATE : 4 RUNNING <<<<< RUNNING の場合、SMB 1.0 が有効化されています。無効の場合、STOPPED になります。
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
==========
- 補足
Windows 8.1、Windows Server 2012 R2 以降の OS で、[SMB1.0/CIFS ファイル共有のサポート] のチェックボックスをオフにして SMB1.0 を削除した場合、以下のコマンドで削除されていることを確認できます。
// SMB1.0 クライアント : mrxsmb10
==========
C:\Windows\system32>sc query mrxsmb10
[SC] EnumQueryServicesStatus:OpenService FAILED 1060:
指定されたサービスはインストールされたサービスとして存在しません。
==========
// SMB1.0 サーバー : srv
==========
C:\Windows\system32>sc query srv
[SC] EnumQueryServicesStatus:OpenService FAILED 1060:
指定されたサービスはインストールされたサービスとして存在しません。
==========
Q. SMB 1.0 を無効化した場合、どのような影響がありますか。
A. SMB 1.0 は大変古いテクノロジです。SMB は、ネットワーク上のファイル共有やプリンター共有などに使用されるため、SMB 1.0 に依存するレガシー システムの中には利用できなくなるものもあります。詳細については、下記のブログ記事 (英語情報) をご参照ください。
Stop using SMB1
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect
Q. Windows Server 2003 用セキュリティ更新プログラム (KB4012598) は Windows Server 2003 R2 にも適用可能ですか。
A. はい、Windows Server 2003 R2 にも適用可能です。
ダウンロード サイト: Windows Server 2003 用セキュリティ更新プログラム (KB4012598)
https://www.microsoft.com/ja-jp/download/details.aspx?id=55248
Q. MS17-010 に対応する Windows XP / Windows Server 2003 / Windows 8 の セキュリティ更新プログラム KB4012598 が、WSUS / SCCM に表示されません。
A. Windows XP / Windows Server 2003 / Windows 8 向けに例外的に公開したセキュリティ更新プログラム KB4012598 は、WSUS に自動的に同期されません。詳細については、下記のブログ記事をご参照ください。
Microsoft Update カタログの活用法について
https://blogs.technet.microsoft.com/jpwsus/2012/03/19/microsoft-update/
Q. Office 365 は Win32/WannaCrypt に対応していますか。
A. Office 365 側では、Win32/WannaCrypt のランサムウェアに対応しており、継続してこのような攻撃に対してモニタリングをしています。Office 365 ATP ではマシンラーニングを使ってランサムウェアを持ち込もうとするメールなどの脅威をブロックしています。また Exchange Online Protection では、Office 365 管理センターのメール保護レポートにてマルウェアの検出状況をご確認いただけます。詳しくは下記の TechNet 情報をご参照ください。
Office 365 のメール保護レポートによるマルウェア、スパム、ルールの検出に関するデータ表示
https://technet.microsoft.com/ja-jp/library/dn500744(v=exchg.150).aspx
関連情報
MSRC Official blog:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
MMPC Official Blog (技術的な詳細):
オンラインの安全を守るために求められる協調的なアクション:先週のサイバー攻撃からの学び:
更新履歴
2017/05/17: FAQ を追加しました。 2017/05/19: 「対策」セクションに一文を追加し、Windows 10 Creators Update (バージョン 1703) の対策状況を明確にしました。 2017/05/24: 「対策」セクションでサポート技術情報 MS17-010 がインストールされたことを確認する方法が利用可能になったことを追記し、FAQ の「 SMB 1.0 が現在有効になっているか確認する方法はありますか 」で SMB クライアント側の確認方法および SMB1.0 が削除されている場合の確認方法を追記しました。