WannaCryに感染するとどうなる?確認方法と対策のまとめ
世界中で、多くの被害を起こしたランサムウェアWannaCryは、感染するとどのような状況を引き起こすのでしょうか?コンピュータ内への侵入確認や、対策のための有効な方法を詳しく解説します。社内のセキュリティに役立てましょう。
この記事の目次
- ・ WannaCryに感染したら
- ・ 自社PCの感染確認方法と追跡
- ・ WannaCryの対策方法
- ・ まとめ
WannaCryに感染したら
PCに入り込んだWannaCryは、どのような問題を引き起こすのでしょうか?PCに起こる症状と、特徴的な活動について解説します。
自動感染活動
まず実行するのは、自動的に感染を広げる活動です。これは、Windowsのネットワークにある『MS17-010』という脆弱性を利用して実行されます。 アクセスできるPCに自動的に接続するため、放っておくと社内中にWannaCryが広まります。 社内ネットワークをセグメント分けしている場合でも、セグメントを超えてアクセスする可能性があるので注意しなければいけません。攻撃するIPアドレスを自動生成するからです。 IPアドレスが社内の他のネットワークのものであれば、そこに飛び火することが考えられます。社外のIPアドレスでも、インターネットを通じて広まっていく可能性さえあるのです。
PCが使い物にならなくなる
データを暗号化するWannaCryは、制限解除のための身代金(=ランサム)を要求するマルウェアです。PCにあるデータの多くが暗号化されてしまいます。 同時に、利用しているサービスも停止されます。業務に使用しているソフトが使えなくなる、データの閲覧ができなくなるといった、業務上の深刻な事態が引き起こされるでしょう。
自社PCの感染確認方法と追跡
自社PCにWannaCryが入り込んでいるか不安な場合には、侵入の有無を確認しましょう。複数ある確認方法と追跡方法について解説します。
感染の有無のチェック
自社PCをチェックするには、DNSサーバーのクエリログやファイアウォールのログなどを確認しましょう。 DNSサーバーのクエリログを確認するときには、WannaCry関連のドメイン名が残っていないかチェックします。 ファイアウォールのログで感染を確認できるのは、IPアドレスを自動生成し、445/tcpポートからインターネットを通じて外部へ接続しようとする特徴があるからです。そのため、445/tcp接続の記録もチェックしてください。
追跡と感染経路の特定
どこから侵入し、どういった経路で拡大していったのかルートを特定し、感染機器を隔離する必要もあります。 ただし、セキュリティログをチェックしても追跡はできません。そこで、通信ログやファイアウォールのログに通信記録がないか確認します。 こうした追跡できるログが取得されていない場合には、Microsoft社の『Sysmon』を導入しましょう。WannaCryが利用する445/tcp通信のログを取得できます。 感染したPCかチェックするには、EDR製品が役立つかもしれません。感染時にインストールされるサービスが、イベントID7045で記録されている可能性があるためです。
キルスイッチへのアクセスで動作停止
活動をやめさせるには、キルスイッチというドメインへアクセスします。キルスイッチへ無事にHTTPアクセスができると、動作を停止するのです。ただし、この方法で動作が止まったとしても、PC上には実行ファイルなどが残ったままになります。 ファイルが暗号化されていない場合でも、ネットワークでつながっている場合には、関連するファイルが残っている可能性があるので注意が必要です。 また、亜種の存在が報告されています。中にはキルスイッチが含まれないものもあるので、必ずしも有効な方法とはいえないようです。
WannaCryの対策方法
大きな脅威になり得るWannaCryですが、予防することで深刻な事態を避けられます。
セキュリティパッチの適用
対策としてまずすべきことは、WindowsUpdateのセキュリティパッチの適用です。 適切にパッチを適用していれば、脆弱性を狙う侵入を防げます。狙われる脆弱性はMS17-010として公表されているものです。セキュリティパッチもすでにリリースされています。 定期的にWindowsUpdateをしていれば適用されますが、していない場合には、速やかに実行しましょう。
オフラインでの方法も
対策はオフラインでもできます。オフラインでできれば、サポートが終了しているOSでも対策可能です。 オフラインで対策するには、まずセキュリティパッチをダウンロードしてUSBメモリに保存します。そして、USBメモリから対策パッチを適用しましょう。 利用するUSBメモリは、書き込み禁止機能を持つものを利用します。セキュリティパッチを適用するPCから、USBを経由して入り込むのを予防するためです。
インストールできない場合
セキュリティパッチをインストールできないときには、ファイアウォールのポート445を閉じましょう。これで、攻撃や侵入をブロックできます。 全てのPCでファイアウォールのポート445を閉じれば、社内で拡大することもありません。 ただし、この方法はあくまでも応急処置です。ポート445を閉じるとネットワークサービスの多くが停止してしまいます。
まとめ
ネットワークの脆弱性を狙って侵入するWannaCryは、どんどん横つながりに拡大していく特徴があります。そのため、社内のPCが使い物にならなくなり、業務にも支障をきたすのです。 脅威に対策するには、日頃から定期的なセキュリティパッチの適用をしましょう。サポートが終了しているOSを利用しているなら、セキュリティパッチをインストールしてください。 適切な対策で内部へ侵入させないことを徹底し、万一感染した場合にも素早く対応できるようにしましょう。
紹介動画
忍び寄るサイバー攻撃 ハッカー集団にあなたは対抗できますか?
企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。
多様化するサイバー攻撃。セキュリティソフトを入れておけば安心ですか?
セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。 -
OCN光 IPoEサービス
vUTMセットIPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
OCN光 IPoEサービス
VPNセット高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。