今日は連投。今回はセキュリティの内容で。
先日、機会があって、以前盛り上がっていた、今もちらほら話を聞くランサムウェア、WannaCryの復旧と検証を自宅で行いました。
有名な対策としてはWindows Updateを最新の状態にしていれば感染しません。
このWannaCriptはSMBv1で感染活動を行うため、ファイアウォールでTCP445とTCP139をブロックすれば動作を封じ込めることが可能です。
尚、Windows Updateを単体で適用したい場合はMS17-010でマイクロソフトは脆弱性に対応しています。
※Windows 10は対策済のため問題ないとのこと
(今後亜種が出てどうという保証はありませんが。。)
感染した状態でWindows Updateを実行し更新すると活動は停止しますが、活動するファイル自体(mssecsvc.exe)はc:windowsの直下に残っている場合があります。
もし感染してても、最新の状態にして「悪意のあるソフトウェア削除ツール」を実行すれば駆除してくれます。
悪意のあるソフトウェア削除ツールはWindows Updateでも更新されるため基本的には
スタートメニューの検索バーに[mrt.exe]と入力しEnterすればウィザードが立ち上がってクイックスキャンやフルスキャンが実行できます。
Wiresharkで感染活動を見ていて思ったのですが、
LANに接続して再起動するとブロードキャストで周りの端末に感染活動を行うため、
もしWindows 7の端末を工場出荷時に戻して、さあセットアップしようと思った時にネットワーク上に感染端末がいたら、、、やられる可能性は十分にあり得るんですね。
これはなかなか盲点なのではないか?と思った次第です。
対策と言えば、ネットワークに接続する前にFW閉じておくとか、工場出荷時の無防備な端末をセットアップする環境を用意するとか、考えられることはありますが知らないと気付かずもらっていることもあるということは知っておいたほうがいいですね。
改めてSMBで感染するマルウェアって怖いなと思った次第です。
参考になる詳しい記事はこちら
「WannaCry 2.0」の内部構造を紐解く | MBSD Blog
更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
いかがでしょうか。
