チェック・ポイント・ソフトウェア・テクノロジーズは5月17日、ランサムウェア「WannaCry」の活動分析の結果、亜種にも有効なキルスイッチ・ドメインの登録を同社のブログで公開したと発表した。
現在、WannaCryを利用した複数の攻撃キャンペーンが同時発生しており、国内においても複数の被害が確認されているほか、SMB経由でネットワーク内部に感染被害が広がっているという。
WannaCryが使用する攻撃経路としては、以下が挙げられている。
- SMB(Microsoft Server Message Block)を利用した直接的な感染拡大
- 電子メール内の不正なリンク
- 不正なPDFファイルの添付:不正なリンクを含むPDFファイル
- 不正なZipファイルの添付
- RDPサーバに対するブルート・フォース・アタックでのログイン
推奨される一般的な対策としては、以下が挙げられている。
- Microsoftのセキュリティ情報MS17-010「Microsoft Windows SMBサーバに対する緊急セキュリティ更新プログラム(4013389)」で報告された脆弱性の修正パッチをWindowsマシンに適用する。
- ネットワークで共有されていない場所にバックアップを保存する。
- パスワードで保護された添付ファイルをメール・ゲートウェイでブロックする。
Check Point SandBlast Agentのフォレンジック機能による活動分析の結果は、オンラインで確認することができる。
|
Check Point SandBlast Agentのフォレンジック機能による活動分析の結果 |
亜種にも有効なキルスイッチ・ドメインとしては、「ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com 」と発表している。
|
