世界規模でサイバー攻撃が実施されているようです。
http://www.itmedia.co.jp/news/articles/1705/14/news016.html
修正パッチを当ててみようと思い、マイクロソフトのサイトを見てみましたが、エラー。サーバアクセスが殺到しているのでしょうか。週明けは忙しくなりそうです。
ランサムウェアはかつてワーム機能はなかったように思うが、今回のは拡散する様子。(感染能力がある)
しかもアクセス可能な範囲のファイルを次々暗号化してしまうため、危険度は高い。感染端末は早めにネットワークから排除する必要がある。
日本語のメールもばらまかれており、注意が必要です。
SMBの脆弱性を狙っているともあるので、ファイルサーバー狙いか? 法人狙いとも言える。
Windows10は感染しない。今年3月のアップデートが反映されていれば問題ない。
(ms17-010 / 4013389)
普段アップデートしないサーバー(Windows server 2012 R2)には、(KB4019215)のアップデートを適用した。
アップデート状況の確認については、以下で公開されている。
https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/
■アップデートできない場合
ただし、windowsサーバーなどでは基幹系ソフトウェアの制限等で、ベンダーから「アップデートするな」と言われているケースもあると思う。その場合は、SMBv1を停止するという対処法もある。どのバージョンのSMBが動作しているか、確認は以下のコマンドで。
sc.exe qc lanmanworkstation
上記はSMBv1が動作しているという結果です。DEPENDENCIESを確認する。MRxSmb10がSMBv1。
SMBv1を停止する。Windows server 2008 R2だったため、以下のコマンドを実施した。
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
再起動が必要です。
■セイキュリティ対策への投資
数年前の「標的型攻撃」から確実に潮流が変わってしまった。標的型は「持ち出し」「流出」を狙ったものであり、目的は「データ」「情報」である。業務は邪魔せず、気づかれないように何年も情報を盗み続けるものもある。
ランサムウェアは全く逆で、「立てこもり?」というか「業務妨害」であって、目的は「お金」。
対処法が全く異なる。標的型対策で多額の投資をしていても、役に立つとは限らない。
無尽蔵にお金をかけられない中小企業にとって、セキュリティへの投資は見極めが必要ですね。
今後需要が高まりそうなランサムウェア対策製品についても、特徴を調査しておく必要がありそうです。
