※本記事は2017年6月27日に米国で掲載されたブログ記事の抄訳版となります。 随時アップデートしています。

何が起こったか:

2017 年 6 月 27 日、Petya ランサムウェアは、政府や重要インフラストラクチャのオペレータを含む複数の組織に影響を与え始めました。この攻撃は、2017 年 5 月の WanaCrypt0r / WanaCry 攻撃と同様の方法で広がっているようで、ETERNALBLUE エクスプロイトツールを使用して Microsoft Windows SMB プロトコル経由でネットワークを通過する可能性が高いと思われます。 Palo Alto Networks のお客様は、次世代セキュリティプラットフォームの複数の要素にわたって作成、配信、施行された保護機能により、Petya による攻撃から自動的に保護されています。

 

どうやって攻撃されるのか:

初期の感染経路は不明ですが、Petya は Microsoft Windows システムで ETERNALBLUE の脆弱性 (CVE-2017-0144) を悪用して SMB プロトコルを使用して他のホストに広がりようとします。この脆弱性は、2017 年 4 月に Shadow Brokers グループによって公開され、2017 年 3 月にMS17-010 で Microsoft によって解決されました。感染が成功すると、マルウェアはユーザーのシステムを暗号化し、アクセスを返すために300 ドルの支払いを要求します。 Petya 攻撃プレイブックの詳細な分析については、Unit42の脅威リサーチチームのブログを参照してください。

 

阻止:

パロアルトネットワークスのお客様は、攻撃ライフサイクル全体にわたる脅威を自動的に阻止する侵害防止ベースのアプローチを採用した次世代セキュリティプラットフォームを通じて保護されています。 

  • WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザーに配布されることを自動的にブロックしています。
  • AutoFocus は、Petya タグによりトラックされ、この攻撃にかかわる脅威分析と調査を可能にします。
  • 脅威防止
    • この攻撃で使用される SMB 脆弱性(CVE-2017-0144- MS17-010)に対する IPS シグネチャ(コンテンツリリース:688-2964)を適用します。
    • "Virus / Win32.WGeneric.mkldr"と "Virus / Win32.WGeneric.mkknd"シグネチャを介して悪質なペイロードをブロックします。
  • GlobalProtect は、WildFire と脅威防止の保護機能を拡張し、リモートロケーションおよびユーザ全体を保護します。
  • ネットワーク全体の SMB トラフィックの使用を制御するために App-ID を使用する必要があります。これには、SMB プロトコルの古いバージョン(たとえば SMBv1)を無効にするなど、必要な場所でのみ有効にします。

注:私たちは Petya の状況を継続的に監視しています。保護についての詳細はこのポストを更新してお伝えします。

パロアルトネットワークの次世代セキュリティプラットフォームでランサムウェアを防止するためのベストプラクティスについては、ナレッジベースの記事も参照してください。すべての Windows ユーザーは、ソフトウェアのサポート期限が終了したバージョンを含め、Microsoft が提供する最新パッチを確実に入手することを強くお勧めします。最新の Petya 攻撃プレイブックについては、Unit 42 の記事をご覧ください。


 関連コンテンツ

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 6478

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 5462

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 4190

PA-5200 シリーズ

パロアルトネットワークス® PA-5200シリーズの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。

  • 0
  • 2234