【ご参考資料】ソフォスの次世代エンドポイント製品 Intercept X ならびに Exploit Prevention が新種のランサムウエア Wanna Decrypt0r 2.0 をゼロデイブロック

5月 18, 2017 Sophos Press Release

【ご参考資料】 英国ソフォスの有する研究機関、SophosLabs は5月12日に確認された身代金請求型マルウェア(ランサムウェア)の新種による攻撃を検知し、速やかに顧客にアップデート情報を送りました。これは ShadowBrokers というハッカーグループが EternalBlue エクスプロイト手法によってアメリカ国家安全保障局(NSA)が所有するコードを流出させた技術を応用したマルウェア攻撃の報告としては初めてのものであると思われます。このランサムウェアは Wanna Decrypt0r 2.0 (別名WannaCry, WCry,WanaCrypt)と呼ばれ、被害のあったマシン上のファイルを暗号化し、wnry, .wcry, .wncry, .wncrypt といった拡張子の持ったファイルに変更します。

ソフォスは、次世代エンドポイント製品である Intercept X ならびに Exploit Prevention が、このランサムウェアを検知し、プロセスをブロック、感染ファイルを復旧できることを確認しました。Intercept X ならびに Exploit Prevention は、独自のアンチエクスプロイト技術を使ったマルウェア検知エンジンを持ち、ランサムウェアも包括的に検知できます。今回の新種に対しても、ソフトウェアやシグネチャの更新を待たずに検知することができ、すでにこれらの製品を導入しているエンドユーザーは未然に影響を防止できます。また、ソフォスの XG Firewall 製品で IPS ルールを適用していたエンドユーザーもエクスプロイト攻撃をブロックできています。また、従来のエンドポイント製品のユーザーにはシグネチャをすでに提供済みで、最新のシグネチャに適用することで防止が可能です。

ソフォスでは、ビジネス環境においてはどの企業も常に OS やソフトウェアのパッチを最新のものとし、従業員に対して適切な教育を行うことを推奨しています。ソフォスのお勧めする、セキュリティに関する 9つのベストプラクティスを参照ください。

【9つのベストプラクティス】

  1. 定期的にバックアップを行い最新のバックアップのコピーはオフラインで、別の場所に保管する

    ランサムウェア以外にも火災、洪水、ノートブック PC の落下、不測の削除などによってファイルが失われる危険性があります。常にバックアップを作成し、バックアップファイルを暗号化しておきます。これによってバックアップを行ったデバイスが万が一悪用されそうな事態になったとしても被害を回避できます。

  2. ファイル拡張子の表示を有効にする

    Windows のデフォルトの設定では、ファイルの拡張子の表示は無効になっています。この場合、ファイルのサムネイル表示によってファイルを識別せざるを得ません。拡張子の表示を有効にしておけば、JavaScript などの通常は送信されてこないようなファイルの種類を、より簡単に識別することができます。

  3. JavaScript (.js) ファイルをメモ帳で開く

    メモ帳で JavaScript ファイルを開くことで、悪意のあるスクリプトが実行されるのを回避でき、その内容を確認できます。

  4. メールに添付されたドキュメント内のマクロの実行を有効にしない

    マイクロソフトでは、セキュリティ上の理由からかなり以前からマクロの自動実行をデフォルトで無効に設定してきました。多くの感染攻撃は、マクロ実行を有効にするように誘導するので、マクロの実行は有効にしないでください。

  5. 依頼していないのに送信されてきた添付ファイルを警戒する

    ファイルを開くまではその中身は確認できないという状況を攻撃者は悪用します。疑わしいファイルは開かないようにしてください。

  6. 必要以上の権限でログインしないようにする

    必要以上に長く管理者権限のままログインしないようにします。管理者権限でログインしている間は、ブラウザの使用、ドキュメントを開くこと、通常の作業以外の不必要な動作は極力行わないようにしてください。

  7. Microsoft Office Viewer を使用する

    Microsoft Office のビューアーのアプリケーションを使用することで、Word または Excel でファイルを開かなくてもドキュメントの内容を把握できます。特にビューアーソフトウェアはマクロに対応していないので、誤ってマクロを有効にしてしまう事態を回避できます。

  8. 修正パッチの適用は早期かつ頻繁に実行する

    ドキュメント経由で送られてくるマルウェア以外のマルウェアの多くは、Microsoft Office、ブラウザアプリケーション、Flash などのよく使用されるアプリケーションのセキュリティ上の不具合を利用します。修正パッチを早期に適用することで、悪用に結びつきやすい脆弱性を減らすことができます。

  9. 業務で使用するアプリケーションに含まれる新しいセキュリティ機能を常に最新の状態に更新しておく

    Office 2016 には「インターネットから取得した Office ファイル内のマクロの実行をブロック」という機能が含まれます。これによって外部の悪意あるコンテンツが従業員にマクロを社内使用させようとする動作を阻止できます。

  10. このマルウェアに関する情報は、以下のブログでもご確認いただけます。 http://sophos-insight.jp/blog/20170515

    また、ソフォスのお客様およびパートナー向けには、以下のナレッジベースを提供しています。 https://community.sophos.com/kb/ja-jp/126733

    法人以外のホームユーザーの方向けには、Sophos Homeを提供しています。この製品のユーザーの方は、Windows OSを最新にアップデートすることを推奨しています。 https://home.sophos.com/ja-jp