サイランスのWannaCry-WanaCrypt0r 2.0対策

By The Cylance Team

「Shadow Brokers」がリークしたデータに含まれていた「EternalBlue」による脆弱性の悪用は、連日トップニュースで報道され、注目を集めています。これまでに、特に医療機関では実務上での甚大な被害を与えています。この記事では、現在の状況をまだ把握されていない方に向けて、最新情報をお伝えします。

本題に入る前に、結論から先に申し上げると、CylancePROTECT®は世界中で猛威を振るっている今回の攻撃を行うマルウェアを防ぐことができます。サイランスは2015年からWannaCryの攻撃が阻止可能な状態でした。

このビデオでは、3つのシナリオでWannaCry、WanaCryptランサムウェアワームの動作を紹介しています。

1) 保護されていないマシン
2) CylancePROTECTで保護されたマシン
3) 複数のマシンが被害を受けているが、サイランスで被害の拡大を防止

ビデオ: サイランスはWannaCry/WanaCrypt0rの攻撃を事前に完全に阻止

この攻撃は、Microsoft WindowsのServer Message Block(SMB)にある脆弱性を悪用して行われます。この脆弱性により、適切なエクスプロイトが正常に行われた時点で、リモートコード実行が可能になってしまいます。この脆弱性はMicrosoftの2017年3月に公開されたアップデート(MS17-10)で修正されました。

しかし、多くの環境ではさまざまな理由でまだパッチが適用されておらず、セキュリティアップデートが提供されなくなった古いオペレーティングシステム(XPなど)を実行しているケースもあります。このような場合は、システムが常に危険にさらされることになります。このエクスプロイトを利用して、攻撃者は任意のコードを自由自在に実行できます。

WanaCryptの場合、ワーム機能が追加されたランサムウェアになります。この実行ファイルは他のマシンをスキャンして特定し、EternalBlueによる脆弱性を通じて近くのマシンや危険にさらされているホストに自己増殖します。

この脆弱性の性質により、ワーム機能によって増殖の対象となったマシンでは、ユーザーが何も操作しなくても被害を受けます。

このワーム、ランサムウェアのバイナリはリモートで実行されます。現時点で確認されているほとんどのケースで、第1段階となっているのは有害なフィッシングメールです。これに含まれるのが「最初に感染するマシン」で実行される添付ファイルです。感染すると同時に、「第2段階」が始まります。つまり、ワーム機能と感染拡大・ピボットです。

身を守るためには、強力で効果的なエンドポイント製品を利用するだけでなく、以下にも注意を払うことを推奨します。

  • オペレーティングシステムを含むソフトウェアを最新に保つ
  • 危険なWebサイトに近寄らない
  • フィッシングメール、感染したバナー、スパムメール、ソーシャルエンジニアリングなどによるサイバー攻撃の危険性に気づくようユーザーを教育する

(更新----2017年5月16日)

WannaCryとは?

WannaCry/WanaCrypt0r 2.0により、世界は2008年のConficker以来の大規模なマルウェアの脅威にさらされています。多層的なセキュリティアプローチのおかげで、この種の脅威がこれだけ多くの組織に被害を与え、これだけ世間の関心を集めることは稀です。

ただし、ここ数日の状況から明らかなように、これは現実なのです。

2003年に被害が拡大したMS Blasterワームを思い出す必要があります(LovsanやLovesanとも呼ばれる。最初に登場したのは同年の8月)。中国でMicrosoft Windows XPと2003パッチのリバースエンジニアリングが行われたのに続き、亜種が作られました。これらの亜種はコンピュータネットワーク内を水平移動して、境界防御を容易に回避できたのです。

似ていると思いませんか?

現在、多くのセキュリティ会社がこのランサムウェアに対して防御を提供していると主張しています。ただし、5月15日の時点で米国政府と国土安全保障委員会が150か国にわたり30万台以上のマシンが感染したと発表したことから考えて、既存のセキュリティで事前には防御できなかったというのは明らかです。

WannaCryはなぜそれほど危険なのか?

ワームだからです。これは単なるランサムウェアでなく、潜在性の高い変幻自在なRansomware-as-a-Service(RaaS)でさえありません。むしろ、WannaCryはランサムウェアというより感染力の高いワームであり、以前に猛威を振るったMS BlasterやConfickerとよく似ています。今回WannaCryが活用したエクスプロイトは、特にWindows XPやWindows 2003といったパッチが提供されていなかった環境に影響がありますが、Windows 7、Windows Vista、Windows Server 2008、Windows Server 2012、およびセキュリティアップデートを実施していないWindows 8およびWindows 10にも影響があるものです。

感染したマシンは、すぐにマルウェアをネットワークに拡散します。

何が原因なのか、どこから発生したのか、なぜこれだけすぐに拡散できたのかはまだ判っていません。不注意なユーザーを責めるのは簡単ですが、まだ解明されていないことがたくさんあります。

なぜパッチがうまく機能しないのか

企業や学校では、一般ユーザーが自宅のPCで行うようにパッチを適用できない場合や、パッチの適用が理にかなっていない場合がよくあります。企業では、パッチやアップデートを大規模に展開する前に標準的なテストやQAサイクルを実施する必要があります。

その理由は2つあります。

1つ目の理由は、新たなOSコードによってビジネス上重要なアプリケーションが壊れないことを確認するのが不可欠なためです。この確認作業には時間がかかり、ときには1か月かかることもあります。パッチは定期的にリリースされるため(よく知られるのがMicrosoftの「Patch Tuesday(月例パッチ)」)、変更管理と展開の承認を実施したうえで、関連する2017年4月のパッチ(WannaCryの被害が拡大するのを防止できた可能性がある)のテストおよび認定を行っていても、完了するのは5月半ばになります。

今回Microsoftが2017年5月にリリースしたパッチは、多くの組織でテストおよび認定にまた丸1か月程かかり、完了するのは6月半ば(休暇スケジュールを考慮に入れるもっと後)になります。

もう1つの理由は、パッチの適用が決して単純な作業ではないことです。従来型アンチウイルスのベンダーが、システムファイルの名前を間違って変更して再起動するパッチをリリースした問題はよく知られています。2015年にはこの「ちょっとした」ミスのせいで、世界中の多くの国で何百台ものPCにOSファイルを再インストールするために所謂「スニーカーネット」に頼らざるを得なくなりました。端的に言えば、多くのセキュリティチームやITチームはパッチを最初から信用していません。彼らはセキュリティのためにパッチを適用する必要があることはわかっていますが、パッチによって過去にシステムやインフラが破壊されたこともよく知っています。

特にこの攻撃に関して、極めて興味深いもう1つの話として、さまざまな理由により、多くのお客様がWindows XPやエンベデッド版、Server 2003など、現在ではサポート終了(EOL)したシステムを実行していることが挙げられます。この週末の時点で、これらのシステムで使用可能なパッチはありませんでした。強調すべき点として、国民保健サービスで最も大きな被害を受けたシステムはXPを実行する医療用デバイスでした。使用目的が重要であるため、予期しない変更は惨事を招くおそれがあり、ITチームは「すぐにパッチを適用する」ことが単純にできません。これらはMicrosoftのパッチで破壊される危険が高いカスタムソフトウェアを搭載したカスタムシステムであり、過去にはこうした惨事が頻発していたのです。

サイランスにできること

サイランスは、ITチームがリリースされたパッチの適正評価を行っている間もシステムを保護します。テスト、QA、認定を行っている間もバックグラウンドで実行し、保護します。これにより、アップデート中にセキュリティの管理を行う負担を取り除くと同時に、重要な防御機能を24時間365日稼動させ続けます。

サイランスのWannaCryに対する防御

サイランスは人工知能そして機械学習(ML)を世の中のために役立てるという明確な目的に基づいて設立されました。サイランスはセキュリティ会社として設立されたわけではありません。セキュリティはたまたま最も困難で最もニーズの高い問題となっただけで、人工知能に基づいた手法で解決できると気づいたのです。

良いニュースがあります。CylancePROTECT®(2015年11月以降の数理モデル)を実行しているすべてのコンピュータは、この悪質なワームであるWannaCryから既に保護されていました

つまり、WannaCryが1年半前にリリースされていたとしても、保護できていたのです。それこそが、機械学習の威力です。既知のマルウェアに関する膨大なデータを収集し、数理モデルとして将来のマルウェアがどのようなものになるかを予測することで、感染する前の段階でシステムに侵入するのを防ぎます。

サイランスのAIは2015年の時点でWannaCryを予測して防止できていたため、お客様はその時点からこの攻撃から守られていたのです。だからこそ、機械学習と人工知能の威力について話すことは重要であり、これは単なるマーケティングやバズワードではないのです。サイランスは現実世界で問題が問題になるに解決しているのです。

さらに、CylancePROTECTはこのワームが実際に増殖するのを防止し、連鎖的に被害が拡大するのを阻止しています。

業界内を見渡しても、WannaCryによる被害を本当の意味で防止する技術を提供している企業はサイランスをはじめごくわずかであり、サイランスではこの事実を証明することができます。

ご質問をお待ちしています

サイランスの脅威調査担当者は引き続き新しいサンプルが届くたびに調査して、CylancePROTECTで新しいすべての亜種の攻撃を阻止できることを確認しています。今すぐCylancePROTECTを導入して、こうした脅威に対する防御、そして安心を実感してください。お問い合わせはサイランス - お問い合わせまで。

Tags: