ランサムウェアWannaCry/WannaCryptの対応についてまとめ

日曜日より世界的に猛威をふるいだしたランサムウェア【WannaCry/WannaCrypt】の対応を進めているので、対応内容をまとめてみます。

細かい情報は下記を参照
[Microsoft]
ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
マイクロソフト セキュリティ情報 MS17-010
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)
[WannaCrypt] MS17-010 の適用状況の確認方法について (SCCM)
Updateカタログ

問題点

1.ネットワーク感染するのでネットワークに繋がっているPC・サーバに感染が広がる
2.メールに添付されたファイルだけでなくてインターネット閲覧でも感染したらしい

一番厄介なのは2のインターネット閲覧で感染したという事例が報告されていること。

今後も亜種が増えてくることを考えると感染自体を100%防ぐことは不可能に近いが、感染が広がるのを防ぐ対策をすることが重要。
Windows7がメインなので2017年03月以降のWindowsセキュリティアップデートがかかっていれば今のところ大丈夫だと考えられるが1台ずつ確認していく必要がある。

対応

・ネットワーク網に繋がっている もしくは 今後繋がる可能性がある端末については全てWindowsUpdateを手動で実施する。
・WindowsUpdateが直ぐに実施できないサーバ類に関しては『SMBv1(サーバー メッセージ ブロック 1.0)サーバ』の機能を停止させる。
・アンチウイルスソフトの定義更新が正常にできているか確認する。
・WAN側に繋がっているルーターの445ポートが開放されている場合は閉じる。
・Windows Defenderが有効になっているか確認する。
・対応が終わったものが判別できるようにシールを筐体に貼り、予備として寝ている端末との差別化を計っておく。

セキュリティアップデートの確認方法

WindowsUpdateで対応ができたかの確認方法としては、『コントロールパネル』→『プログラムと機能』→『インストールされた更新プログラム』から確認できるが見落としが発生する可能性もありそんなことはやってられない。
そこでバッチファイルを作成して確認することにする。
コマンドの内容は『[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)』を参照。

下記のコマンドを実施し、更新プログラム番号が該当すれば下記のような結果が返ってきます。

更新プログラム番号は複数存在する場合がありますが、おそらく古いのは消された上で新しいものに置き換わっているようですので、最後の更新プログラム番号が表示されればOKです。

[Windows7とServer2008R2の場合]

[WindowsXP、8とServer2003の場合]

[Windows8.1とServer2012R2の場合]

[WindowsVistaとServer2008の場合]

[Server2012の場合]

何も表示されない場合はWindowsUpdateが全てあたっていない可能性もあります。もう1度実施しましょう。
全部あたっているはずなのに出ないという場合は私が記述ミスしている可能性があります。
下記に更新プログラムの番号が記載されていますので該当する部分をご確認ください。
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)

サーバ類の即時対応が難しい場合の対応方法

『SMB1.0/CIFS ファイル共有のサポート』機能を外します。

WindowsServer2012 R2を例にします。

サーバーマネージャーを起動して管理メニューをクリック

メニューが表示されるので【役割と機能の削除】を選択

[役割と機能の削除ウィーザード]が開くので次へ次へで【機能】まで進みます。

【機能】まで進んだら機能一覧の部分を下にスクロールして『SMB1.0/CIFS ファイル共有のサポート』のチェックを外します。

チェックを外して確認へ進んで、『SMB1.0/CIFS ファイル共有のサポート』が対象として表示されていることを確認し【削除】ボタンをクリックします。

機能の削除が進んでいきます

機能の削除が完了すると再起動が必要な旨の説明が表示されます。

サーバを再起動すれば完了です。
サーバ類でWindowsUpdateが難しい場合はこの対応でとりあえずは【WannaCry/WannaCrypt】の回避対応は完了ですが、あくまでも流入感染を防ぐことが目的の処理となり、他の脆弱性にも対応しているわけではありません。

今回はファイル共有プロトコルであるSMB(Server Message Block)のバージョンが1の脆弱性が問題になりましたが、今後SMB2.x系、SMB3.x系でも脆弱性を突かれる攻撃は発生してくるでしょう。
ユーザー1人1人にITリテラシーを徹底すると言っても様々な手法で攻撃されることが増えてきていますので100%防ぐことは不可能でしょう。
たったの1クリックが社内ネットワークに繋がっている全てのPC・サーバに一瞬で被害が及び可能性が高まっていますので、WindowsUpdateが難しいサーバ関係も定期的に更新を実施できる環境構築も必要になっている時代かもしれません。