-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2017-0020 JPCERT/CC 2017-05-14(新規) 2017-05-17(更新) <<< JPCERT/CC Alert 2017-05-14 >>> ランサムウエア "WannaCrypt" に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170020.html I. 概要 2017年5月12日ごろより世界中で "WannaCrypt" などと呼ばれるマルウエアに 関する被害が報じられています。JPCERT/CC にてマルウエアを確認したところ、 感染した場合に、端末のファイルが暗号化され、復号の為に金銭を要求する日 本語のメッセージが表示されることを確認しています。 2017年5月14日現在、JPCERT/CC では、国内での "WannaCrypt" による感染や 被害に関する情報を確認しております。今後の感染や被害拡大の可能性に備え ることを強く推奨します。 なお、"WannaCrypt" はネットワーク内での感染を拡大させるために、セキュ リティ更新プログラム MS17-010 で修正される脆弱性 (CVE-2017-0145) を悪 用することを確認しています。 マイクロソフト セキュリティ情報 MS17-010 - 緊急 Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389) https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx 当該マルウエアの感染や、感染後の拡大を防ぐために、ウイルス対策ソフト ウエアの定義ファイルを最新版に更新するとともに、メールを開く際には、 添付ファイルや本文の内容に十分注意することや、OS やソフトウエアを最新 版に更新することを推奨します。 ** 更新: 2017年 5月17日追記 ****************************************** "WannaCrypt" について、未だ感染経路の全容を把握していませんが、感染の 一例として、持ち出し端末などで、モバイル接続を利用してインターネットに 接続している端末において、利用者が気が付かないまま "WannaCrypt" に感染 したケースを確認しています。 また、JPCERT/CC にて "WannaCrypt" の動作を分析したところ、感染端末から 外部の IP アドレスや、同一ネットワークセグメント内の端末に対して、 MS17-010 で修正された脆弱性が残る端末を探すための Port445/TCP 宛の スキャンが実行されることも確認しています。 感染した端末を組織内のネットワークに接続した場合、組織内の端末やサーバ に感染が拡大することも考えられます。脆弱性を悪用されることを防ぐために、 セキュリティ更新プログラム MS17-010 の適用を行うなどの対策を実施してく ださい。修正プログラムの適用が難しい場合、不要なポートのブロックやサー ビスの停止を検討してください。 なお、JPCERT/CC の定点観測システム TSUBAME では、2017年4月23日以降、 日本国内に向けた Port445/TCP 宛のスキャンの増加を観測していますが、 "WannaCrypt" に感染した端末によるものかは不明です。 引き続き感染や被害拡大に備えることを推奨します。 https://www.jpcert.or.jp/at/2017/at1700020-fig1.png [図:2017年4〜5月の国内宛 Port445/TCP パケット観測数の推移] ********************************************************************** II. 対策 2017年5月14日現在、JPCERT/CC では "WannaCrypt" の感染経路に関する情報 は確認できていませんが、典型的なランサムウエアの拡散方法には、メール等 による配布や、Web 閲覧を通じた攻撃サイトへの誘導などが知られています。 OS やソフトウエアを最新版に更新する他、ウイルス対策ソフトウェアの定義 ファイルを更新し、感染や被害拡大の低減策をとることを推奨します。 特に、休日中にメールを受信している可能性がありますので、多くの組織で業 務が始まる月曜以降にメール閲覧等を通じて感染が広がる可能性も考えられま す。メールに添付されたファイルを開く際には、最新の定義ファイルに更新し たウイルス対策ソフトウエアにてファイルを検査してから開くことを推奨しま す。 また、"WannaCrypt" は、脆弱性 (CVE-2017-0145) を悪用して ネットワーク内の PC や、サーバへ感染を拡大させる恐れがあるため、早期に アップデートを行うことを強く推奨します。 ** 更新: 2017年 5月17日追記 ****************************************** 早期にアップデートを行えない場合には、関連するポート (Port445/TCP) のブ ロックや、サービスの停止を行うことを強く推奨します。 ********************************************************************** JPCERT/CC 2017年 3月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170011.html なお、マイクロソフトからは、既にサポートが終了している Windows XP, Windows 8 および Windows Server 2003 についても、本脆弱性を修正するた めのセキュリティ更新プログラムが2017年5月13日に公開されています。 マイクロソフト株式会社 Microsoft Update カタログ http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 ランサムウエアへの感染防止と感染により暗号化されたファイルの復元のため、 管理者や使用者は、以下の対策をご検討ください。 ・ OS 及びインストールされたソフトウエアを最新の状態にアップデートして ください。 ・ ランサムウエアに感染しファイルが暗号化された場合、ファイルを復号する ことが難しいため、バックアップを定期的に実行することを推奨します。また、 バックアップから正常に復元できることも確認してください。 ・ ランサムウエアに感染した場合、感染端末からアクセスできるファイル全て が暗号化される可能性があります。そのためバックアップデータは、物理・ ネットワーク共に切り離されたストレージなどに保管しておくことをおすすめ します。また、バックアップデータを保管してあるストレージは、復元時のみ 社内環境に接続することを推奨します。 ** 更新: 2017年 5月17日追記 ****************************************** なお、ランサムウエアに感染したファイルを含むバックアップを、感染してい ないバックアップに上書きしないよう、バックアップの世代管理にもご注意く ださい。 ********************************************************************** III. 参考情報 US-CERT Multiple Ransomware Infections Reported https://www.us-cert.gov/ncas/current-activity/2017/05/12/Multiple-Ransomware-Infections-Reported US-CERT Alert (TA17-132A) Indicators Associated With WannaCry Ransomware https://www.us-cert.gov/ncas/alerts/TA17-132A SANS Internet Storm Center Massive wave of ransomware ongoing https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/ マイクロソフト株式会社 ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/ JPCERT/CC ランサムウエア感染に関する注意喚起 https://www.jpcert.or.jp/at/2015/at150015.html JPCERT/CC 2017年 3月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起 https://www.jpcert.or.jp/at/2017/at170011.html 情報処理推進機構 (IPA) 【注意喚起】ランサムウェア感染を狙った攻撃に注意 https://www.ipa.go.jp/security/topics/alert280413.html 情報処理推進機構 (IPA) ランサムウェアの脅威と対策 (PDF) https://www.ipa.go.jp/files/000055582.pdf JPCERT/CC JPCERT/CCがランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」にサポートパートナーとして協力 https://www.jpcert.or.jp/press/2017/20170405-nomorepj.html 日本サイバー犯罪対策センター (JC3) ランサムウェア対策について https://www.jc3.or.jp/info/nmransom.html ** 更新: 2017年 5月17日追記 ****************************************** 情報処理推進機構 (IPA) 世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html マイクロソフト株式会社 [WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS) https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/ FBI Ransomware Prevention and Response for CISOs https://www.fbi.gov/file-repository/ransomware-prevention-and-response-for-cisos.pdf/view 警察庁 攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について https://www.npa.go.jp/cyberpolice/important/2017/201705151.html ********************************************************************** JPCERT/CC では、ランサムウエアの被害低減を目指す国際的なプロジェクト 「No More Ransom」の活動に賛同しています。今回の件につきまして、当方ま でご提供いただける情報がございましたら、ご連絡ください。 ________ 改訂履歴 2017-05-14 初版 2017-05-17 「I. 概要」、「II. 対策」、「III. 参考情報」の修正 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/ TEL: 03-3518-4600 FAX: 03-3518-4602 -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJZG9OUAAoJEDF9l6Rp7OBIVrAH/2OP8z9Vc+zDfrPRS40gt2Xx 8jsvOe6dt/VuYQpSQfCP8HryZCV+5TfyaLAAy81e44K7R6g2JWj9qb/66Zx7F5Yb hO2RQK21RmQ8ugAGKy7a1NKSE5oGpQRe3Bguals7iJjRrT/0Qemwerj3AEyeHFEu DycxPEU/Ok4FyEVSEGVQ5qrXh32+WSXWKN/8xHqa+jBwjE9aRw/ZZaMszGCHiLGb f+t88+NBdSuMbu90TPv8HItb8sblYLe5BlPwK7IzQsyF2elIkv3GYUMXqFUJnQHe S/AH4uTAM9EQemHRwnDqq9romKeElTS/knywNHviDSo6NHMX/PLCUzT+RYIIf/k= =7ogE -----END PGP SIGNATURE-----