- HOME
- セキュリティ最新ニュース
- WannaCryランサムウェアのCheck Point 対応状況
Security
WannaCryランサムウェアのCheck Point 対応状況
Check Point 社のWannaCryランサムウェアに対しての対応状況が発表されています。
2017/05/12記事(5/14更新)(原文)
http://blog.checkpoint.com/2017/05/12/global-outbreak-wanacryptor/
・メール添付されたPDFファイルに悪意のコード
(ランサムウェアのダウンロードや、ランサムウェアファイルの生成)が含まれている。
・一般的な対応策
(1)Windowsのファイル共有の仕組みSMB(サンバ)のセキュリティの穴をついた攻撃のため
マイクロソフトから緊急で発行された、セキュリティ更新
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
をWindowsPCに適用する必要がある。
(2)ネットワーク上から、隔絶された箇所に、業務ファイルのバックアップをとっておく。
(3)暗号化されたパスワードで保護された、添付ファイルは、電子メールゲートウェイからブロックする
・CheckPoint製品で、対応する製品と機能は以下の通り
(製品名【】 機能名[])
【CheckPoint UTM/NGFW ネットワーク防御】
[サンドボックス]
[ファイル無害化]
[アンチボット]
[アンチウイルス]
[IPS:侵入防御機能]
【エンドポイントセキュリティ(SandBlast Agent)】
[アンチランサムウェア]
[サンドボックス]
[ファイル無害化]
[アンチボット]
[アンチウイルス]
・IPS:侵入防御機能に実装されている定義ファイル
(ただし、社内ネットワーク間の悪意動作はUTMやNGFWの初期設定で止めません)
Microsoft Windows EternalBlue SMB Remote Code Execution
Microsoft Windows SMB Remote Code Execution
(MS17-010: CVE-2017-0143)
Microsoft Windows SMB Remote Code Execution
(MS17-010: CVE-2017-0144)
Microsoft Windows SMB Remote Code Execution
(MS17-010: CVE-2017-0145)
Microsoft Windows SMB Remote Code Execution
(MS17-010: CVE-2017-0146)
Microsoft Windows SMB Information Disclosure
(MS17-010: CVE-2017-0147)
2017年5月12日、チェック・ポイント・インシデント対応チームは、WannaCryptorランサムウェアの広範な流行を追跡し始めました。我々は、複数のグローバル組織がSMBを利用してネットワーク内で伝播する大規模なトランスクリプト攻撃を経験しているという報告があります。問題を複雑にするためには、さまざまなキャンペーンが進行中であり、特定の感染ベクターを特定することは難しい課題でした。具体的には、過去24〜48時間にわたる複数のランサムウェアキャンペーンのための以下のベクトルを特定しました。
感染ベクターは、複数の方法でそれ自身を提示することができます:
WannaCryptor – 送達方法としてSMBを利用した直接感染 – コピーネコや変種を含む複数のサンプルが同定されています。テストされたすべてのサンプルは、SandBlast Anti-Ransomwareおよび/またはThreat Emulationによって検出およびブロックされています
メール内の敵対的なリンク
PDF内に敵対的なインクを含む敵対的な添付ファイル
感染チェーンを開始するPDFを含むパスワードで暗号化されたZIPファイルである敵対的な添付ファイル。
RDPサーバーに対するブルートフォースのログイン攻撃により、
チェック・ポイントは、WannaCryptorに対して次の保護を提供します。
ネットワーク保護(SandBlast)
脅威の抽出と脅威のエミュレーション
アンチ・ボット/アンチウイルス
エンドポイント保護(SandBlastエージェント)
アンチRansomware
脅威の抽出と脅威のエミュレーション
アンチ・ボット/アンチウイルス
アンチマルウェア
IPS Protection(フラットネットワークでは機能しません)
Microsoft Windows EternalBlue SMBリモートでコードが実行されるhttps://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0332.html
Microsoft Windows SMBリモートでコードが実行される(MS17-010:CVE-2017-0143)https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0177.html
Microsoft Windows SMBリモートでコードが実行される(MS17-010:CVE-2017-0144)https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0198.html
Microsoft Windows SMBリモートでコードが実行される(MS17-010:CVE-2017-0145)https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0200.html
Microsoft Windows SMBリモートでコードが実行される(MS17-010:CVE-2017-0146)https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0203.html
Microsoft Windows SMB情報漏えい(MS17-010:CVE-2017-0147)https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html
一般保護
Windowsマシンには、Microsoft Security Bulletin MS17-010 – Microsoft Windows SMB Serverの重要なセキュリティ更新プログラム(4013389)で説明されている脆弱性のためにパッチを適用する必要があります(https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)。
ネットワーク上で共有されていないバックアップが利用可能であることを確認する
暗号化されたパスワードで保護された添付ファイルを電子メールゲートウェイからブロックする
チェック・インシデント対応チームは、状況を詳細に監視しており、顧客を支援するために利用可能です。
以下のセクションでは、チェック・ポイントの顧客が、企業のソリューションを活用して攻撃の要素を分析、報告、防止する方法を理解するための詳細を説明します。そして、一般的なransomwareの詳細については、ここをクリックしてください。