WannaCryで悪用される445ポート、約3%が開放状態 - ラック診断サービス「自診くん」

ラックは、14日に公開した無料のセキュリティ診断サービス「自診くん」のサービス結果からの考察を公表。WannaCryで悪用されるtcp/445を含む開放状況に警鐘を鳴らしている。

14日に公開した「自診くん」は、WannaCryで悪用されるWindows SMBにおける脆弱性(MS17-010)、「SKYSEA Client View」の脆弱性(CVE-2016-7836)を含む、SSH 22/tcp、TELNET 23/tcp、NETBIOS 139/tcp、RDP 3389/tcp、VNC 5900/tcpの通信を診断、塞いでおくべきポートの開放状況を確認できる。

おもに情報システム部門や診断結果への対応が行える利用者を想定。社外に持ち出してモバイルデータ通信機器を使用してインターネット接続するノートPCやタブレット、社内ネットワークではなく直接インターネットに接続するPCなどが特にリスクが高いと同社は診断を勧めている。

同社オウンドメディア「LAC WATCH」では、診断結果からランダムに抽出した3,000件に対してのポートの状態をグラフ化しており、WannaCryで悪用されるtcp/445や、NETBIOSで使うtcp/139がともに約90件が開放されている。

ラック研究部門「サイバー・グリッド・ジャパン」の仲上竜太氏は、およそ3%という数字は、仮にインターネットに接続しているPCが100万台だとしても3万件、1,000万台だと30万件が危険な設定であることを指摘。「自診くん」で445ポートの通信が確認できた場合は、WannaCryなどの侵入余地があり、感染・悪用される恐れもあるため、パーソナルファイアウォールの設定でTCPポート139および445を閉じて、経路を絶つよう呼びかけている。