ニュース
» 2017年05月17日 16時10分 UPDATE

「持ち出し端末からの感染を確認」「Port445/TCPのスキャンに注意」 JPCERT/CCがWannaCry情報を更新

JPCERT/CCが、ランサムウェア「WannaCry」の亜種によるサイバー攻撃についての注意喚起情報を更新し、新たに判明した感染経路の情報や、日本国内に向けたポートスキャンの状況などを告知した。

[園部修,ITmedia]

 国内でも被害が出ているランサムウェア「WannaCry」(Wanna Cryptor、WannaCrypt、Wcry)の亜種によるサイバー攻撃について、JPCERT/CCが注意喚起情報を更新し、新たに判明した感染経路の情報や、日本国内に向けたポートスキャンの状況などを告知した。

 WannaCryは、旧バージョンのWindowsに搭載されている「SMBv1」(Microsoft Server Message Block 1.0)の脆弱(ぜいじゃく)性を悪用するランサムウェアで、感染するとファイルを暗号化し、Bitcoinによる身代金の支払いを要求する。支払いには期限があり、払わないとデータが復号できなくなるという(払ったからといって復号されるとは限らない点は注意が必要)。

WannaCry 感染するとこうした画面が表示される

 現時点では、詳細な感染源はまだ判明していないが、外部に持ち出してインターネットに接続したPCなどが、利用者が気が付かないまま感染したケースを確認しているという。また感染したPCをネットワークに接続すると、ネットワーク内をスキャンし、脆弱(ぜいじゃく)性が残っているPCやサーバに感染を広げることが確認されている。IPA(情報処理推進機構)などは、当初メールなどからの感染に注意を促していたが、標的型攻撃やばらまき型メール攻撃のような広がり方とは異なるようだ。

 JPCERT/CCで“WannaCrypt”の動作を分析したところ、感染したPCなどから、外部のIPアドレスや、同一ネットワークセグメント内の端末に対して、「MS17-010」で修正された脆弱性が残っている端末を探すため、Port445/TCP宛てのスキャンが実行される。

 なおJPCERT/CCでは、早期にアップデートを行えない場合、「関連するポート(Port445/TCP)のブロックや、サービスの停止を行うことを強く推奨します」と告知している。

 JPCERT/CCの定点観測システム「TSUBAME」では、2017年4月23日以降、日本国内に向けたPort445/TCP宛てのスキャンの増加を観測しているが、WannaCryに感染した端末によるスキャンかどうかは判明していないという。

JPCERT/CCで公開しているPort445/TCP宛てのスキャン数 JPCERT/CCでは、Port445/TCP宛てのスキャンが増加していることを検知しているという

 対策としては、Microsoftが公開している、MS17-010などの、脆弱性を修正するパッチを適用し、Windowsを最新の状態にすることが最善とのことだが、すぐに対応できない場合などには、@ITで公開している「今すぐできるWannaCry対策」なども参考に、可能な対処をすることをお勧めする。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -