ランサムウェア「WannaCrypt」、大流行中 98
ストーリー by hylom
ちらほらとそれらしいトラブル報告が 部門より
ちらほらとそれらしいトラブル報告が 部門より
あるAnonymous Coward曰く、
Windowsの脆弱性を狙って攻撃を行う「WannaCrypt」(WannaCry、WannaCryptor)と呼ばれるマルウェアがここ数日猛威を振るっている。週末明けの日本でも感染拡大の危険性があるとし、JPCERTが注意喚起を行っている(ITmedia、窓の杜、日本マイクロソフトのサポート情報)。
WannaCryptはファイルを暗号化して復号のために身代金を要求するという、いわゆるランサムウェアである。3月の月例アップデートで修正されたSMB v1の脆弱性を突くとともに、メール等のソーシャル的な手法で拡散を続けており、世界100か国以上で大きな被害を出している。IPAではアップデートを適用するとともに、不審なメールの添付ファイル開封やリンクへのアクセスをしないよう呼び掛けている。
Microsoftでは危険性を鑑み、サポートが終了しているWindows XPや8、Server 2003向けのセキュリティパッチも提供しているため、これらを利用中の方も至急アップデートされたし。
関連ストーリー (スコア:2, 参考になる)
1日前の関連ストーリー:
Microsoft、Windows XPのセキュリティ更新プログラムを公開 [security.srad.jp]
#同じ話だが。
ノーガード戦法最強伝説 (スコア:1)
たった3万円で暗号化されたファイルが返ってくるんだからな
何十万もかけてハードを更新するよりはるかに安く済む
ノーガード戦法が最強だとまたもや証明されてしまった
Re:ノーガード戦法最強伝説 (スコア:3, すばらしい洞察)
>たった3万円で暗号化されたファイルが返ってくるんだからな
毎度あざーす
次は下期にやりますんで振込ヨロシク
企業の場合は「反社会的勢力」にお金を払えないのだが (スコア:2, 参考になる)
ほとんどの企業の場合、「企業が反社会的勢力による被害を防止するための指針について [moj.go.jp]」を元にした、反社会勢力と付き合わない宣言を行っている。
例え3万円でも、支払ったら反社会性力にお金を渡したとしてニュースで取り上げられる、3万円どころではない被害を出すんじゃないかな。
Re:ノーガード戦法最強伝説 (スコア:1)
3万円が何度も発生するという可能性は考えていないのかな?
私が攻撃者だったら、暗号アルゴリズムやシードは複数使い分けて、カモがいたら何度でも支払っていただこうと考えます。
1度教えた解除方法が万能だったら、誰かがその方法をリークすれば世界中が救われることになる。
そんな陳腐な攻撃だったらこれほど騒がないでしょう。
Re:ノーガード戦法最強伝説 (スコア:2)
実際に何度も攻撃されている事例があったような
ざっくり探したところだと
http://japanese.engadget.com/2016/05/25/2/ [engadget.com]
とか
Re:ノーガード戦法最強伝説 (スコア:4, 参考になる)
上のリンクは適当じゃなかった
http://www.itmedia.co.jp/news/articles/1701/31/news068.html [itmedia.co.jp]
こっちのホテルの案件だね
Re:ノーガード戦法最強伝説 (スコア:1)
これを笑い話にせずに真面目なコメントがついてることの方に戦慄するわ
Re:ノーガード戦法最強伝説 (スコア:2, すばらしい洞察)
たとえば、ランサムウェアを購入して
しのぎにしようとしてる組織では
下っ端に
「おまえら、みんなが油断するように情報操作してこい」
とか言われているわけだよ。
だから、いつまでたっても「XP使っても大丈夫」みたいなやつがいるし
3210991みたいなのも出てくる
まぁ、XP大丈夫説は、不良在庫抱えた中古業者の気もするけど…
Re:ノーガード戦法最強伝説 (スコア:1)
ちょうど1年ぐらい前の話題 [srad.jp]で言ってたことがまさに起きてるのな・・・
永眠しててくれればよかったんだが、「XPに自動感染するワームが出たら起こしてくれ」って言ってた人、起きて来ちゃうんだろうか
Re:ノーガード戦法最強伝説 (スコア:2)
うちの普段使ってる Windows 2000、セキュリティソフト全部停止
させてファイル共有有効にした上で実証コード試してみたら、
エラーで動かなかった ・ω・
素の Windows 2000 SP4 Windows Update 適用しただけだと、
攻撃は通るようだ
Re: (スコア:0)
何台端末あんの
Re: (スコア:0)
返ってこないランサムもあるのに能天気だね。
Re:ノーガード戦法最強伝説 (スコア:1)
・絶対に解除キーを入手できるなら金を払う人もいるが、要求額が高いと諦める人もいる。
・絶対に解除キーが入手できないなら金を払うやつはいない。
なら、0.0x%くらいで解除キーが当たる1回分は安いガチャとかどう? 10連だと少し確率上がりますよとか、10連分の値段で11回引けますよとか。
で、芸能人が「10連一発で解除キーゲット!!」とかTwitterでつぶやく……
日立のシステム障害 (スコア:1)
NHKが日立が「WannaCryptにやられた」という報道 [nhk.or.jp]をしていたのですが、一般メディアのせいか、システムのどこがどうやられたのか、サッパリです。
NHKによれば
具体的には、電子メールの送受信ができなくなったり、添付ファイルが開けなくなったりするトラブルが起きていて
だそうですが、被害がメールに特化しているのでSMTP/POP/IMAPサーバーがやられたと推定できますが、WannaCryptで上記のような中途半端な機能障害が出るの?(システムを乗っ取ったにしては妙に行動がおとなしめ)
Re:日立のシステム障害 (スコア:3, 興味深い)
朝にビラまかれてたり入口に張られたりでセキュリティに強いだけあってしっかり啓蒙されてましたよ…
メールに関しては一部ユーザーが不可で復旧予定1500だったのがいつのまにか時間未定に。
あとはLyncが死亡してたけどこっちは代替サーバにつなげばOKだった。
社内全体がエヴァンゲリオンで使途に侵入された回みたいになってた。
おそらく開発用途みたいなのでセキュリティパッチがまともにあたってない(警告がきても使用者がほっといたとか)のが
感染して社内に蔓延したのではと。
どこかしらからずーっと母艦にアタックされてたし
Re:日立のシステム障害 (スコア:1)
国内では影響を受けなかった組織がほとんどなのだから、なんらかの影響を受けるってだけでも、セキュリティに関しては世の中では最低レベルの組織なのだと自覚すべき。
Re:日立のシステム障害 (スコア:1)
拝承さんを弁護するわけじゃないけれど、
表立ったアナウンスだけで
「国内では影響を受けなかった組織がほとんどなのだ」
と断ずるのも
意識の低さではどっこいどっこいではないかと。
Re: (スコア:0)
規模の大きな会社ですからね、もしかしたら容量制限とかに引っかかったとかの話かも?
添付ファイルに制限かけてる会社も今時は多いだろうし
圧縮ファイルを自動的に別サーバーに展開してウイルスチェックして、その後ユーザーがアクセスできるようになるとかのシステムもあったと思うけど
途中のサーバーがおかしくなると添付ファイルだけひらけないとかあるかも?
Re: (スコア:0)
メールを受信するサーバがWindowsServerで、且つパッチ当たっていなくて感染したんじゃない?
公開サーバから内部のサーバに転送する設定で、内部は公開してないからパッチあててなかった!とかはありそう
Re: (スコア:0)
> メールを受信するサーバがWindowsServerで
NHKによれば「添付ファイルが開けなくなったりするトラブル」ということなんで、一部はメールの送受信ができているのですが…
複数のサーバーで運用することは日立規模の会社なら十分あり得ますが、一部のサーバーだけパッチ当てをしないとかいう、そんなセキリティポリシーがあるかなぁ(WannaCryptはSMBサーバを検索して、CVE-2017-0144を突いて増殖する)。現在復旧中で、障害がまだら模様?
Re: (スコア:0)
ところで今でも日立で使ってるメールといえば、Groupmaxなのかな?
で、碑文で作ったexeとか添付してんのかなぁ?
どちらにせよ、セキュリティソリューションを販売する企業として、非常に恥ずかしい事態であることを自覚してほしいと思うところです。
「10 Homeでも自動更新を無効化できるようにしろ」←まだこれ言えるの? (スコア:1)
むしろProでも強制自動更新になる可能性のほうが高そう
身代金を払った人は、ちゃんとファイル復元できたのかな (スコア:1)
身代金として300万円をゲット [gigazine.net]したようですが、お金を払った人が、全てのファイルを元通りに直せたのかどうか気になりますね。
ファイルが元に戻らなかった場合でも、文句の付けようが無いし(?)
wana,wana,罠に落ちそう (スコア:1)
SMB v1の脆弱性 (スコア:0)
これはルータによりSMBで使われるポートへの外部からのアクセスが塞がれていれば、
SMBv1の脆弱性の有無に関係なく、脆弱性に対する外部からの攻撃に対して安全だと
判断していいのでしょうか?
Re:SMB v1の脆弱性 (スコア:1)
それよりSMBv1を無効化するべきでしょう。
感染PCがLAN内にあれば、ファイルサーバ自体は感染しなくても、そっちから共有ファイルが暗号化されてしまうので、あまり実効はないように思いますが。
Re:SMB v1の脆弱性 (スコア:1)
業務システムの関係で現時点でパッチの適用ができない Windows7 で SMBv1 を無効にしたら、Buffalo の TeraStation Pro (TS-HTGL)にアクセスできなくなった。
予備機に最新のセキュリティパッチを適用して確認したら問題なくアクセスできるので、SMBv1無効化の影響と思っているが、元々 SMBv1 が無効になっている Windows10 からは問題なくアクセスできるので、さらに訳が分からん。
ということで、現在八方ふさがり(泣
業務システムへのセキュリティパッチの影響調査を加速するしかないかぁ。
Re: (スコア:0)
複合機でスキャンしたデータをサーバに保存しようとすると、SMB1.0じゃないとダメだったりすんだよなぁ...
Re:SMB v1の脆弱性 (スコア:1)
複合機のプロトコルってFTPとかe-mail経由で出来たりしませんかね
Re:SMB v1の脆弱性 (スコア:2)
scan toまで入れたところGoogleさまに
email とかsmbとかいろいろサジェストされたんであるにはあるはず。
現役時代は to emailとかto Dropboxとか横で開発中だった。
ただネイティブじゃなくてJAVA上だったりしたけど
FTPもあったけどきちんと認証するサーバ立てるのが面倒らしくあんまり一般的ではなかった。
Re: (スコア:0)
複合機でスキャンしたデータをサーバに保存しようとすると、SMB1.0じゃないとダメだったりすんだよなぁ...
複合機のメーカーに対応を依頼するべき。
Re:SMB v1の脆弱性 (スコア:2, 参考になる)
複合機のメーカーに聞いてみたところ、最新機種も含めて全部SMB1.0って言われた。
こんなんパッチ作るのに何ヶ月かかる事やら。
ファイルサーバにFTPサービス追加とか嫌すぎる。
Re: (スコア:0)
スキャンの代わりにe-FAXとかのネットで送受信するタイプのFAX番号に送るようにすれば
カラーの複合機だったらカラーFAXできるらしいし
解像度がー!でグラフィック系では使えなそうだけど
Re:SMB v1の脆弱性 (スコア:1)
言っている外部ってのが、「ルータの外部」だったら安全だと思う。
ただし、それならばSMBで共有自体がされていないという事なので、無駄な心配ですが。
LAN内からはアクセス可能、WANからはアクセス不可能って話で、外部がWANを指しているなら、LAN内のPCから攻撃されるので安全ではないでしょう。
Re: (スコア:0)
メールでPCに受信した時点でLAN内部に来ているので、ルータは効果ないでしょ
Re: (スコア:0)
そんな訳で、同一セグメントで誰か攻撃ファイルを実行すればユーザーが操作しないPCでもこんな風に [imgur.com]なっちゃうわけですね。
Re: (スコア:0)
一応パソコンにパスワードかけとけばおっけーなはず
Re: (スコア:0)
認証回避できる脆弱性ついて感染するのに
パスワードで回避できるってありえんような
Re:サポートが終了しているWindows XPや8、Server 2003向けの… (スコア:2, 参考になる)
vistaはサポート切れる直前にパッチが当たったから大丈夫じゃないっけ?
今回は hylom さんが正しい (スコア:2)
Windows 8 のサポートがもう終了しているという事実に違和感を覚えているのかもしれませんが、Windows 8 のサポート(セキュリティ更新)は 2016年1月13日に終了しているので、セキュリティ更新のためには Windows 8.1 や Windows 10 へのアップグレード、もしくは Windows 7 へのダウングレードが必要です。
Re:今回は hylom さんが正しい (スコア:1)
「8.1」じゃなくて「8.1 Update」が最新です。
8 > 8.1 > 8.1 Update の順にリリースされています。
Re:今回は hylom さんが正しい (スコア:3)
ご指摘ありがとうございます。
確かに2014年4月に公開された「Windows 8.1 Update」を適用していないと、2014年6月以降のパッチを適用できないので、「Windows 8.1 Update」にする必要がありますね。
しかし、「Windows 8.1 Update」は、通常のアップデートプロセスで配信されているパッチ (KB 2919355) であって、Windows 8.1 と別の OS でも Service Pack でもないので「Windows XP」「Windows 10」などと並べて書くOSの名称としては「Windows 8.1」だと思います。「Windows 8.1 Update」が普通のパッチでることの根拠は、Microsoft ライフサイクル ポリシーでは Service Pack は未インストールの環境でもリリース後2年間はサポート対象なはずですが、「Windows 8.1 Update」は適用しないと2か月後のパッチも適用できません。
Re: (スコア:0)
無印8のままってどれだけ残ってるんだろね。大抵が8.1に上げてるんじゃない?
内部的にはけっこう変わってるけど、8.1って実質的にSP1みたいなもんだから…。
Windows8って書かれた場合、無印8なのか、8.1も含むのか、8.1のことなのか、ややこしくて困るね。
Re:今回は hylom さんが正しい (スコア:1)
知り合いに「8.1に上げるサービスをどうしようか考えてるうちに終了しちゃった」なんて人もいます。
Windows10へのアップグレードほど強力な更新ではなかったようなので、上げていない人はいっぱいいそう。
Re: (スコア:0)
8->8.1へは今でも無料でアップデートできるはずだけど
春に1度やったけど、ストアからやるんだったかな?
Re: (スコア:0)
「Vista」なんて、なかったことにしたいんだよ
Re:なあんだ、XP使い続けても安心だね💛 (スコア:1)
でも、復号は自力でしないといけないんじゃw
Re:Win10とXPのデュアルブート (スコア:1)
そのあとでHDDを戻してXPで何が起きるのか観察すればいい。
感染したならXPを捨てるいい機会になるでしょう
Re:結局WannaCryptは、どうやってLANに侵入するの? (スコア:1)