「WannaCry」拡散 そのとき情シスはどうすべきだったのか(2/3 ページ)

» 2017年05月25日 07時00分 公開
[宮田健ITmedia]

セキュリティベンダーはどう対応したか

 WannaCryに関しては、多くのセキュリティベンダーが詳細、かつタイムリーに情報を発信していたのが大変印象的でした。そこで、情報システム部がどのようにWannaCryを捉えるべきか、各社に聞いてみました。

 従来のウイルス対策ソフトは「パターンファイル」「シグネチャ」と呼ばれるフィルタのアップデートが必須で、そのアップデートが間に合わない、いわば未知の脅威はすり抜けてしまうということが指摘されていました。セキュリティベンダー各社に今回のWannaCryは止められたのかという点を確認したところ、例えばカスペルスキーでは「Kaspersky Security Networkによる疑わしいオブジェクトの緊急検知、およびシステムウォッチャーという振る舞い検知機能(デフォルトで有効)の2つの特別な検知機構で防御を実現しており、今回のWannaCryは、システムウォッチャーにより初めから防御が可能だった」と述べています。

 そしてトレンドマイクロのウイルスバスターシリーズも、「ウイルスバスターにはさまざまなランサムウェア対策機能が実装されているが、今回は特にフォルダシールドという機能が効力を発揮した。WannaCryのパターン対応前に、すでにこの機能によりWannaCryをブロックし、ユーザーの情報を保護できた」とのことです。

 また、シマンテックも2017年5月18日に開催したオンラインセミナーにて、シマンテック製品を利用していたユーザーからの感染報告はない、と発表しました。

Symantec WannaCry Symantec Endpoint Protection 14ユーザーやNortonユーザーからの感染報告はなかったという

 さらに、AIを活用した製品群も、パターンファイルなしに、その振る舞いだけで検知できていたというリリースを公開しています。

 情報システム部の皆さんは、自社で利用しているセキュリティ対策ソフトのベンダーに、「WannaCryはどう対策できていたのか」を確認してみるのもいいと思います。

セキュリティベンダーが考える、情報システム部が見直すべきポイント

 また、カスペルスキーは今回のWannaCryに対して、「パッチを適切に適用していれば被害は防げたため、タイムリーに脆弱性を把握する仕組みを持つことも重要」とコメントしています。特にWannaCryでは利用者のアクションなしに感染が広がる「ワーム」的な行動が行われ、これがある程度有効であると判断された可能性があるとしています。そのため、「社内でのファイアウォールのルールと、社外でのルールを自動で切り替えできる機能は重要」だと述べています。

 そして、一般的なランサムウェアはこれまで通り「メール」「Web」を経由し、攻撃が行われることが多いため、「明らかに不審なメールは開かない」「Windowsでは拡張子を表示し、メールで送られてきた実行ファイルを実行しない」「オフラインのバックアップを持つこと」が効果的な対策になるとし、自社環境がどのようになっているか、いま一度見直しが必要とコメントしました。

 トレンドマイクロも、今回のWannaCryに関してファイアウォールが防御したと考えており、「境界防御対策がしっかりできていたら、ネットワーク内への侵入は考えられない」としています。そのため、今後はインターネットへの直接接続の禁止、素早いセキュリティアップデートという運用が行えているかどうかが重要になると述べています。トレンドマイクロでは設定不備や社外持ち出しの端末が攻撃されたと推測しており、それらの端末が感染したという事例報告も受けているとのことです。

高度な機能も「オフにしていては意味がない」

 ここで注意しておきたいのは、これらの「防御が可能だった」理由が、さまざまな機能をオンにしていたからだったことです。従来のパターンマッチングによるマルウェア検知だけでなく、各社は振る舞い検知やサンドボックスなど、さまざまな新機能を適宜追加しています。

 特にランサムウェア対策機能が搭載されたのは最近のバージョンであることが多いので、それらの機能が、従業員の各端末で有効になっているかどうかを確認してください。これらの機能も、端末でオフにされていたら無意味です。セキュリティ対策ソフトのポリシー設定が確実に行われているか、この機会に確認すべきでしょう。

ウイルス感染 最新の防御機能があっても、オフにされていては意味がない

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ