※本記事は2017年5月12日に米国で掲載されたブログ記事 の抄訳版となります。 随時アップデートしています。

何が起こったか:

2017年5月12日金曜日、ランサムウェア(身代金要求型マルウェア)WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃はWannaCrypt, WannaCryとも呼ばれ、世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。

 

どうやって攻撃されるのか:

WanaCrypt0rの初期の感染経路はまだ明らかになっていない部分もありますが、SMBプロトコルを経由して、ネットワーク内のMicrosoft Windows システムにある脆弱性 EternalBlue (CVE-2017-0144)を悪用し、他のホストに広範囲に感染を広めようとして攻撃します。この脆弱性は、2017年3月にMicrosoftがMS17-010として対処したもので、2017年4月にハッカー集団「Shadow Brokers(シャドー・ブローカーズ)」によって一般公開されています。

 

Microsoft はWanaCrypt0r攻撃に対する防御について記事(リンク先英語記事。同社の日本のセキュリティチームも、同様の情報をまとめた記事を公開しています)を公開し、Windows XPを含む、サポート期間の切れたバージョンに対するパッチの提供を開始しました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありませんが、現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正されているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。

 

阻止:

Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。

  • WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザーに配布されることを自動的にブロックしています。
  • 脅威防御
    • この攻撃に使用されているSMB脆弱性の悪用- ETERNALBLUE (CVE-2017-0144 - MS17-010)に対応する IPS シグネチャ(公開: 688-2964)を適用しています。
    • ThreatVault (脅威名“Trojan-Ransom/Win32.wanna.a” and “Trojan-Ransom/Win32.wanna.b”を含む)で参照できるアンチマルウェアシグネチャを展開します。
    • 脆弱性を狙ったエクスプロイトであるバックドアツール、DoublePulser向けのコマンド&コントロールの防御(公開:695)を提供しています。ThreatVault 等で見つかっています。
  • URLフィルタリング は悪意のあるURLをモニタしており、必要な場合防御を適用します。
  • DNSシンクホール機能 はネットワーク上の感染端末を特定することができます。ベストプラクティスについては製品ドキュメントを参照ください。
  • Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 Trapsの防御についての詳細は、ブログ でもご確認いただけます。
  • AutoFocusWanaCrypt0rタグを通じて脅威分析と脅威のハンティングができるようこの攻撃を追跡します。
  • GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。

Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

 

弊社は、すべてのWindowsユーザーに対し、サポート期間が切れたバージョンを含め、Microsoftが公開した最新のパッチを確実にインストールすることを強くお勧めします。


 

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 3165

Palo Alto Networks Petya ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年6月27日、Petyaのランサムウェアは、政府や重要インフラストラクチャのオペレータを含む複数の組織に影響を与え始めました。この攻撃は、2017年5月のWanaCrypt0r / WanaCry攻撃と同様の方法で広がっているようで、ETERNALBLUEエクスプロイトツールを使用してMicrosoft Windows SMBプロトコル経由でネットワークを通過する可能性が高いと思われます。 Palo Alto Networksの顧客は、次世代セキュリティプラットフォームの複数の要素にわたって作成、配信、施行された保護機能により、Petyaの攻撃から自動的に保護されました。
  • 0
  • 2429

Android アドウェアの新しい傾向: Android のプラグインフレームワークの悪用

正当なモバイルアプリが広告用 SDK やほかのアプリのプロモーションを組み込むのはよくあることです。広告を表示し、ほかのアプリのプロモーションすることで、正当なアプリの開発者は収入を得ているからです。しかしながら、最近モバイルアプリコミュニティにおいて警戒すべき傾向が観測されるようになってきました。すなわち、Google Play ストアのアドウェア プログラムが Android 上でサードパーティの DroidPlugin フレームワーク を悪用し、より攻撃的になってきているという傾向です。
  • 0
  • 1466

PlugX の「偏執狂時代」

日本での攻撃に使われていたこともあるPlugXについて、興味深いテクニックを使っているサンプルが見つかりました。Unit 42で手法について解説します。
Tom Lancaster, Palo Alto Networks,
  • 0
  • 898

Tsunamiの亜種である新しい IoT/Linux マルウェアがデジタルビデオレコーダーを標的に

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、新しい IoT/Linux ボットネット「Tsunami」の亜種である「Amnesia」を発見しました。Amnesia ボットネットによる攻撃は、TVT Digital 社ならびに TVT Digital 社から供給を受けた世界 70 以上のベンダーブランドによる DVR (デジタル ビデオ レコーダー) 機器に存在する、パッチを適用されていないリモートコード実行に関する脆弱性を狙います。
  • 0
  • 1576

Tokyo 2020までにサイバーセキュリティスキルのギャップを埋めるための日本の指針

2020年の東京夏季オリンピック競技大会まで3年しか残されていない中、日本はサイバーセキュリティ分野の人材不足に直面しています。経済産業省(METI)によると、想定される可能性に対する現在のITプロフェッショナルの不足は132,060人で、2020年にはさらに193,010人に増加します。エンドユーザ企業の約半分が、ITセキュリティ関連の従業員が不足していると確信しており、これらの役割に十分な人材がいると思っているのは26%のみです。
  • 0
  • 713