ランサムウェア「Petya」の亜種「GoldenEye」が世界各地に感染拡大

また、新たな、ランサムウェアの被害が拡大しているようです、、、、

「Petya」の亜種「GoldenEye」というランサムウェアのようです。

「Petya」=ぺとやorぺちゃ と読むらしいですが、その名前の可愛らしさ(?)とは裏腹に

>Petyaは、HDDのMBR(マスターブートレコード)を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するが、今回登場したGoldenEyeは、MBRに加えてファイルの暗号化も行う。

という結構強烈なランサムウェアのようです。

 

(参考)

http://internet.watch.impress.co.jp/docs/news/1067653.html

http://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html

 

現時点では

Microsoft社 の脆弱性の脆弱性「MS17-010」を突いての攻撃のようですが

今年4月に猛威を振るった「Wanna Cry」と同じ脆弱性のようなので、OSのパッチは前回対応済みであれば新たに対応は不要のように思えますが

以下URLによると

>これを適用して更新したコンピュータでも感染する恐れがあるという。Petyaは、「Office」文書によっても感染を拡大できるためだ。別の脆弱性を利用して、WannaCryのようにワームホールと組み合わせるという。

https://japan.cnet.com/article/35103415/

ということで、今後新たなOSの更新ファイルが公開されるかもしれませんね、、、、

 

現段階では、まだ情報がいろいろ錯綜しているようなので、引き続き情報収集が必要ですが

ひとまず現段階では

①Microsoft Windows/Officeの最新セキュリティパッチの適用

②あやしい添付ファイル(今回はWORDが多い?)は開かないように徹底する。

③アンチウィルスソフトの定義ファイルは最新にする。

ことが大事ですね。

 

ちなみに弊社のセキュリティ対策

UTMソリューション」では、今回の「Petya」とその亜種「GoldenEye」はすでに対応済みです。

が、日々亜種が作られているため、上記の①~③も平行して実施したほうが良いと思います。

 

 

 

 

標的型攻撃対策④(Windowsファイル共有)

前回までは、標的型攻撃を受けないためのパソコンの設定になりますが、

今回は、それでも攻撃を受けてしまった場合に、被害を小さくするための対策になります。

そもそも標的型攻撃は

 

①侵入活動

→メールやウェブ経由でマルウェアに感染させる

②侵入した端末で情報の収集

③他の端末でマルウェアをコピー

④サーバ等に侵入しデータの搾取→

 

のような流れで攻撃を行います。(ざっくりですが、、、)

 

前回までの対策は主に①を防ぐためですね。

 

で、今回は「③ 他の端末でマルウェアをコピー」 の対策です。

 

この「他の端末でマルウェアをコピー」の活動は主に、Windowsのファイル共有サービスを利用する

と言われています。

この時

・パソコン間でadministrator権限のID・パスワードが共通
・パソコンのファイル共有が利用可能

の条件がそろうとあっという間に③が成功してしまう らしいです。

 

なので対策としては

1)パソコン間のローカル管理アカウントを個別に設定する。
2)パソコン間でのファイル共有を禁止(共有はファイルサーバのみとする)
→ファイル共有の受信方向のみ停止

1)はパソコンの台数が多ければ多いほど、大変(全PCのパスワードの管理とか・・・)なので、力技で頑張るしかないですが。。。

2)については、以下のような方法で可能かと思われます。

 

 

◆パソコン間でのファイル共有を禁止(ファイル共有の受信方向のみ停止)する方法

●方法その1 パーソナルファイアウォールで止める。

Windowsファイアウォールや、ウィルス対策ソフト内のファイアウォールの機能で

ローカルポート UDP(137、138)、TCP(139、445)

宛ての通信を止めればよいです。

Windowsファイアウォールだと、(AD環境でなければ)、1台ずつ設定が必要ですが

ウィルス対策ソフトを集中管理している環境であれば、一括で設定可能かと思います。

 

●方法その2 ファイル共有を停止する。

そもそもパソコン側でファイル共有(受信)を止めてしまうという方法です。

この方法自体もいろいろ設定の仕方がありますが、一番手っ取り早いのが、ネットワークのインターフェイス上で

ファイル共有を止めてしまうことです。

 

コントロールパネル→ネットワークと共有センター→アダプターの設定の変更

から、自身が使っているインターフェイス(有線だと「ローカルエリア接続」が多いでしょうか)

のプロパティを開き

「Microsoftネットワーク用ファイルとプリンタの共有」

のチェックを外します。

share

※参考(ちょっと古いですが):ファイルとプリンタの共有を無効にしてセキュリティを強化する

https://support.microsoft.com/ja-jp/kb/199346

 

その1その2を組み合わせれば、2)の対策としては概ね大丈夫だとだと思います。

 

※この2つの方法だとWindowsの「管理共有」が動いているままになるので、念のため「管理共有」止めておいたほうがより良いかもしれません。レジストリ弄る or バッチ走らすなど ちょっと手間がかかりますが。。。。

 

参考:Windowsのデフォルト共有を停止させる(管理共有を無効化する)

http://www.atmarkit.co.jp/ait/articles/0304/26/news003.html

 

 

 

 

 

 

 

 

 

 

 

標的型攻撃対策③(Adobe Reader)

前回、メールの添付ファイルで、マクロ付Officeファイルの対策について書きましたが、

office系のファイルと同様に気を付けないといけないのが、pdfの添付ファイルです。

最近は多くの人が使っているpdfの閲覧ソフト「Adobe Reader」のセキュリティ機能(サンボックス機能)が強化されていたりするので

不正なpdfファイルは減少傾向にあるようですが、それでも頻繁に「Adobe Reader」に脆弱性が発見されていたりするので

対策をしておくにことに越したことはありません。

 

Adobe Readerの設定として確認すべき点は

①Adobe Readerの最新バージョン/更新プログラムが提供された場合にすみやかに更新できるようにすることです。

常に更新プログラムが適用されている状態にしましょう。

また、Adobeのサポートが切れているバージョンの使用は控えましょう。(2016/8/10現在 X以下のメーカサポートは終了しています。)

http://www.adobe.com/jp/information/acrobat/endsupport.html

 

reader01

②標的型攻撃はpdfファイルにファイルに攻撃処理を含んだスクリプトを埋め込んで攻撃してくることが多いため、

スクリプト自体を無効化してスクリプトを実行させないことが大事です。

(Officeのマクロ同様、自作のスクリプトを使ってる方は、停止できないかもしれませんが、

閲覧、印刷 しか使っていなければ止めてしまって問題ないと思います。)

reader02

③外部のWindows Media Player や Adobe Flash Player に存在する脆弱性を利用し、不正なファイルをpdfに埋め込んで攻撃してくるケースもあるため、

以下設定でAdobe ReaderからWindows Media Player や Adobe Flash Player 等を利用しないようにすることも効果大です。

reader03

④PDFファイルを開いたときに外部プログラムを呼び出す機能 がありますが、これが悪用されたケースもあるので

この設定も止めましょう。

reader04

 

標的型攻撃対策②(Office設定見直し)

標的型攻撃の起点となる攻撃は、メールに添付された不正なファイルを利用者に開かせることで攻撃を開始するというのが定番です。

(標的型対策としてのメールソフトの設定については前回を参照してください。)

 

一昔前は、こういった不正なファイルは実行形式(exe等)やZIPファイル等の圧縮ファイルが多かったのですが

最近(特にこの数か月)は、マクロ付のMS-Office系のファイルが急増しているようです。

※標的型攻撃の場合、マクロ自体は悪意ある振る舞いをする実マルウェアをダウンロードさせるための入口として悪用されることが多いようです。

 

なので、Office系のファイルがメールで添付されている場合は、安易に開かないことが一番大事です。

が、万が一開いてしまった場合、マクロが実行されないような設定をしておくことも大事になります。

 

2007以降のOfficeの場合、マクロの設定は初期値で

警告を表示してすべてのマクロを無効にする(デフォルト)

office

となっているので、マクロ付ファイルを開いたとしても、以下のような警告がでるだけで、「コンテンツの有効化」を押さない限りマクロは実行されません。

macro

じゃあ、この初期値のままで大丈夫 と思いがちですが

普段の業務で、マクロ付のファイルを利用しない人は、この警告がでると「怪しい」と気づけますが、

普段からマクロ付のファイルを利用している人は、「コンテンツの有効化」がでたら、「押す」というのが習慣になってしまいます。

そのため、ついついボタンをポチッとしてしまい、標的型攻撃に感染する という事態になってしまいます。

 

そのため、マクロの設定は

「警告を表示せずにすべてのマクロを無効にする」 または 「デジタル署名されたマクロを除き、すべてのマクロを無効にする」

office2

にすることをお勧めします。この設定場合、上記のようなミスを防ぐことができます。

 

ただ、この設定の場合だと、安全なマクロや自分で作ったマクロも使えなくなってしまうので、そういった場合、のマクロファイルを置く場所を決め

[信頼できる場所]

に登録することで、「警告を表示せずにすべてのマクロを無効にする」 設定の制限をうけずにマクロを開くことができます。

 

 

 

業者を装った迷惑メールにご注意を

最近、業者を装った迷惑メールが増えているようです。

直近だと7月にヤマト運輸の社名を装った迷惑メールがニュースにもなりました。

 

http://www.kuronekoyamato.co.jp/info/info_100326.html

http://headlines.yahoo.co.jp/hl?a=20160630-00000005-jct-bus_all

 

ちなみに弊社にもこのメールは届いていまして、内容は以下のような感じ。

 

yamato2

送信者が「●●●@kuronekoyamato.co.jp」となっているのぱっと見は怪しいメールではないように見えますが

よく見ると日付が「7/12(土)」となっています。(本来なら7/12(火)ですよね?)

昔のいわゆるスパムメールは、日本語以外の言語や、日本語であってもわけのわからない文章が多い印象でしたが

最近はかなりそれっぽく作られていて、引っかかってしまいそうですね。

 

ただ、今回のようによく見るとおかしい点等/表現が残ってるケースも多いので、しっかり内容を見極める必要があると思います。

 

ちょっとでも怪しいと思ったらそのメールの添付は開かない、URLはクリックしない

ことが大事ですね。

 

また、最近ではOCNを装った迷惑メールも増えているようです。

http://www.ocn.ne.jp/info/announce/2016/07/19_1.html

これもかなりそれっぽいメールのようですが(若干変な日本語ですが)、みなさんもお気を付けください。

 

標的型攻撃対策①(メール設定の見直し)

最近ニュース等にもよく取り上げられる流行り?の標的型攻撃。

今までのウィルスが「1対多」の攻撃だったのに対し、標的型攻撃は「1対1」への攻撃となるため

攻撃手段がその会社専用となることが多く

「ウイルス対策ソフト」や「ファイアウォール」などのシステムで一様に防ぎきれるわけではないというのがやっかいです。

(もちろんこういったものが効果がまったくないわけではないですが)

 

そのため、実際の対策として必要なのが

上記のようなシステムの「複合的」に利用することや、利用しているパソコン&ソフトの設定を見直し、

また、利用者への注意喚起、”継続的”な教育(怪しいメールを開くな等) などが必要になってきます。

 

ということで標的型攻撃対策って何からしたらよいの? ってことにはなりますが

まず最低限

①Windowsやソフトウェアのセキュリティ更新プログラムの適用

②ウィルス対策ソフトの定義ファイル更新

が必要でしょう。

 

また、標的型攻撃は、メールで攻撃を開始することが多いためメールソフトの設定の見直しも重要だと思います。

以下はうちの会社でも実際に実施してますが

具体的には

①プレビューの停止

※プレビュー=メールを開くのと同じ。

※Outlookだと以下のような起動オプションを使えば、必ずプレビューを停止できます。

“C:\Program Files\Microsoft Office\Office14\Outlook.exe” /nopreview

(全PCのショートカットを作り直すのは大変ですが、、、、)

②メールの形式をHTML→テキスト形式に変更

※HTMLメール内に悪意あるscript等が埋め込まれている可能性があるため

textmail

③exe、bat等 実行形式の添付ファイルはメールソフトで受信されないように設定

※MS のOutlookは初期でブロックされます。

※また「2重拡張子」(xxxxxxxx.pdf.exe)のようなウィルスも多いのでwindowsの設定で「拡張子を表示する」を有効にすることも大事です。

 

とりあえず今回は、すぐできそうな対策(主にメール)でいくつか書かせていただきましたが、次回以降でまた効果のありそうな対策を紹介していければと思います。