イベント・セミナー情報 EVENT SEMINAR

  • このエントリーをはてなブックマークに追加

セミナー

【大阪】7/15 Check Point SOT in 大阪 レポート

2016年7月15日にヒルトンホテル大阪にて、Check Point 社主催のネットワーキングイベント(Check Point 社の ファンミーティング)Security on Tap が開催されました様子をご報告いたします。

セミナータイトル

・Check Pointの今後の新機能実装予定
・Check Point 6月発売の Check Point 770/790 シリーズについて
・ランサムウェアの被害について2セッション
・村田機械 様のInfomation Guardの発表
・船井総研 那須慎二氏によるセッション

ランサムウェア感染実験動画

セミナーセッション中で、スライドにてご紹介したランサムウェア感染動画のフル版を宝情報YouTube チャンネルでも公開しています。
Tesla Cryptについても公開しております。

【動画】

フル動画で紹介している内容を要約すると、以下の通りです。

0:00−2:07
・ウイルス対策ソフトがオン Check Point がオフで一旦ウイルス対策ソフトで、Lockyに感染するjsコードの動きが止められる。
#動画内にはありませんが、日々検証する中でソフトをすり抜けるものもあります

2:08−7:35
・ウイルス対策ソフトがオフ Check Point がオフで感染、パソコン内のファイルが暗号化される「元に戻すには、指示に従って入金するよう」促すメッセージが表示され振込金額が表示されるところまで、ブラウザのダウンロードと指定URLへのアクセスを行う。

7:36−8:00
・感染前にWindowsを巻き戻し。
#検証のためにWindowsを仮想化しているため簡単に巻き戻しできましたが本番環境では、Lockyによって、シャドウコピー(復元ファイル)も消されているためこのような巻き戻しはできません。

8:01−11:16
・ウイルス対策ソフトがオフ Check Point がオンで感染するjsコードを実行すると、フォルダ内にLockyの実行ファイルが出てきて、一旦Lockyに感染したように見えたがアンチボット機能で、暗号化の直前で止めていた。
#アンチボット機能は、最新のランサムウェア対してアンチヴィールスなどの機能が追いついていないながら最終の出口防御機能が働いた結果となります。
動画にはありませんが、翌日には、対策するためのパターンファイルができていて同じ感染コードを実行すると感染まで至らずにアンチボット機能が発動する前で、アンチウイルス機能や、URLフィルタリング機能で止められていました)

11:17−12:12
・ウイルス対策ソフトがオン Check Point がオンで感染していた、Lockyの実行ファイルがウイルス対策ソフトによって削除される。
#Check Pointは対応速度が速いため、取り急ぎ脅威を閉じ込めておいて後で対策ソフトが対応できるようになってから削除するという考え方です

当日の発表スライドについて

ご希望の方へ、配布いたしますのでご入用でしたら、宝情報 営業担当までお問い合わせください。

  • img_cp700_01

記事一覧に戻る

お問い合わせはこちら

ページのトップへ戻る