各位
JPCERT-AT-2017-0020
JPCERT/CC
2017-05-14(新規)
2017-05-17(更新)
<<< JPCERT/CC Alert 2017-05-14 >>>
ランサムウエア “WannaCrypt” に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170020.html
I.概要
2017年5月12日ごろより世界中で “WannaCrypt” などと呼ばれるマルウエアに関する被害が報じられています。JPCERT/CC にてマルウエアを確認したところ、感染した場合に、端末のファイルが暗号化され、復号の為に金銭を要求する日本語のメッセージが表示されることを確認しています。
Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
当該マルウエアの感染や、感染後の拡大を防ぐために、ウィルス対策ソフトウエアの定義ファイルを最新版に更新するとともに、メールを開く際には、添付ファイルや本文の内容に十分注意することや、OS やソフトウエアを最新版に更新することを推奨します
“WannaCrypt” について、未だ感染経路の全容を把握していませんが、感染の一例として、持ち出し端末などで、モバイル接続を利用してインターネットに接続している端末において、利用者が気が付かないまま “WannaCrypt” に感染したケースを確認しています。
引き続き感染や被害拡大に備えることを推奨します。
[図:2017年4~5月の国内宛 Port445/TCP パケット観測数の推移]
II. 対策
2017年5月14日現在、JPCERT/CC では “WannaCrypt” の感染経路に関する情報は確認できていませんが、典型的なランサムウエアの拡散方法には、メール等による配布や、Web 閲覧を通じた攻撃サイトへの誘導などが知られています。
OS やソフトウエアを最新版に更新する他、ウィルス対策ソフトウェアの定義ファイルを更新し、感染や被害拡大の低減策をとることを推奨します。
特に、休日中にメールを受信している可能性がありますので、多くの組織で業務が始まる月曜以降にメール閲覧等を通じて感染が広がる可能性も考えられます。メールに添付されたファイルを開く際には、最新の定義ファイルに更新したウィルス対策ソフトウエアにてファイルを検査してから開くことを推奨します。
早期にアップデートを行えない場合には、関連するポート (Port445/TCP) のブロックや、サービスの停止を行うことを強く推奨します。
**********************************************************************
2017年 3月 Microsoft セキュリティ情報 (緊急 9件含) に関する注意喚起
https://www.jpcert.or.jp/at/2017/at170011.html
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
- OS 及びインストールされたソフトウエアを最新の状態にアップデートしてください。
- ランサムウエアに感染しファイルが暗号化された場合、ファイルを復号することが難しいため、バックアップを定期的に実行することを推奨します。また、バックアップから正常に復元できることも確認してください
- ランサムウエアに感染した場合、感染端末からアクセスできるファイル全てが暗号化される可能性があります。そのためバックアップデータは、物理・ネットワーク共に切り離されたストレージなどに保管しておくことをおすすめします。また、バックアップデータを保管してあるストレージは、復元時のみ社内環境に接続することを推奨します。
なお、ランサムウエアに感染したファイルを含むバックアップを、感染していないバックアップに上書きしないよう、バックアップの世代管理にもご注意ください。
**********************************************************************
III. 参考情報
US-CERT
Multiple Ransomware Infections Reported
https://www.us-cert.gov/ncas/current-activity/2017/05/12/Multiple-Ransomware-Infections-Reported
Alert (TA17-132A) Indicators Associated With WannaCry Ransomware
https://www.us-cert.gov/ncas/alerts/TA17-132A
Massive wave of ransomware ongoing
https://isc.sans.edu/forums/diary/Massive+wave+of+ransomware+ongoing/22412/
ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/
JPCERT/CCがランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」にサポートパートナーとして協力
https://www.jpcert.or.jp/press/2017/20170405-nomorepj.html
情報処理推進機構 (IPA)
世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)
https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/
Ransomware Prevention and Response for CISOs
https://www.fbi.gov/file-repository/ransomware-prevention-and-response-for-cisos.pdf/view
攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測について
https://www.npa.go.jp/cyberpolice/important/2017/201705151.html
**********************************************************************
JPCERT/CC では、ランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」の活動に賛同しています。今回の件につきまして、当方までご提供いただける情報がございましたら、ご連絡ください。
2017-05-14 初版
2017-05-17 「I. 概要」、「II. 対策」、「III. 参考情報」の修正
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: 
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/