チェック・ポイント・ソフトウェア・テクノロジーズは5月17日、ランサムウェア「WannaCry」の活動分析の結果、亜種にも有効なキルスイッチ・ドメインの登録を同社のブログで公開したと発表した。

現在、WannaCryを利用した複数の攻撃キャンペーンが同時発生しており、国内においても複数の被害が確認されているほか、SMB経由でネットワーク内部に感染被害が広がっているという。

WannaCryが使用する攻撃経路としては、以下が挙げられている。

  1. SMB(Microsoft Server Message Block)を利用した直接的な感染拡大
  2. 電子メール内の不正なリンク
  3. 不正なPDFファイルの添付:不正なリンクを含むPDFファイル
  4. 不正なZipファイルの添付
  5. RDPサーバに対するブルート・フォース・アタックでのログイン

推奨される一般的な対策としては、以下が挙げられている。

  1. Microsoftのセキュリティ情報MS17-010「Microsoft Windows SMBサーバに対する緊急セキュリティ更新プログラム(4013389)」で報告された脆弱性の修正パッチをWindowsマシンに適用する。
  2. ネットワークで共有されていない場所にバックアップを保存する。
  3. パスワードで保護された添付ファイルをメール・ゲートウェイでブロックする。

Check Point SandBlast Agentのフォレンジック機能による活動分析の結果は、オンラインで確認することができる。

Check Point SandBlast Agentのフォレンジック機能による活動分析の結果

亜種にも有効なキルスイッチ・ドメインとしては、「ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com 」と発表している。