2017年5月12日金曜日に始まったWanaCrypt0rランサムウェア攻撃は、世界中の公的組織および民間組織のシステムに影響を与え続けています。この記事では、次世代 エンドポイント セキュリティTrapsが提供する今回のランサムウェア攻撃に対する保護と、お客様がWanaCrypt0rに対してセキュリティを強化するために取るべき対策の概要を説明します。
ランサムウェア:WanaCrypt0r
ランサムウェア WanaCrypt0r (別名WannaCryまたはWCry)の最初の感染ベクターはまだ調査中ですが、これまで多くの攻撃が確認されています。これらの攻撃は、Microsoft WindowsシステムのSMBプロトコルの脆弱性CVE-2017-0144(「EternalBlue」と呼ばれる)を使って、ネットワーク上の感染したエンドポイントから、他のシステムに感染を拡大していきます。Microsoftは、2017年3月にこの脆弱性に対するパッチを発行し、セキュリティ パッチの提供対象ではなくなっているWindows XPなどのシステムに対しても特別にパッチの提供をしました。
SMBプロトコルの脆弱性が利用される可能性のあるパッチ未適用のWindowsシステムでは、最初に感染したエンドポイントから、WanaCrypt0rがターゲットのシステムにリモートで感染し、マルウェアを実行します。新しく感染したエンドポイントは、ネットワークで接続されているその他のホストにこのサイクルを繰り返し、攻撃を拡散していきます。感染した各エンドポイント上のデータ ファイルは、身代金を引き出すために、暗号化されます。
WanaCrypt0rに対するTrapsによるプロテクション
Trapsの複数メソッドによる防御アプローチにより、WanaCrypt0r攻撃の初期の段階でマルウェアの実行をブロックします。最初のマルウェアがうまくエンドポイントに侵入した場合(当社の次世代セキュリティ プラットフォームがこれを阻止できるしくみを以下に示しています)、Trapsは、WanaCrypt0rマルウェアを実行しようとする攻撃者の試みを自動的にブロックします。
ランサムウェアWanaCrypt0rの実行を阻止
Trapsのほぼ全てのお客様は、WanaCrypt0r攻撃を防ぐためにデフォルトのポリシーと設定を変更する必要はありません。Traps v4.0 (2017年5月にリリース)およびv3.4 (2016年8月にリリース)は、以下のマルウェア防御メソッドを使用して、Windows端末上でのWanaCrypt0rの実行を阻止します。
脅威インテリジェンスクラウドWildFire: WildFireは、当社の脅威インテリジェンス パートナー、サードパーティ フィード、およびWildFireに登録している15,500のお客様によって確認されたWanaCrypt0rのすべてのサンプルをマルウェアとして自動的に見極めます。世界中でこのマルウェアの新しいサンプルが発見されたら、WildFireは、Trapsによって保護されているエンドポイントでそれらの亜種をブロックするため、更新済みの制御を自動的に作成および配信します。Trapsでは、このマルウェア防御機能はデフォルトで有効になっており、お客様が、この保護機能を無効にしない限り、ポリシー設定を変更することなく保護されます。
機械学習機能を利用したローカル解析: ローカル解析マルウェア防御機能は、WanaCrypt0rの新しい亜種およびこれまで確認されていない亜種にエンドポイントが感染する前にその実行をブロックします。ローカル解析はウイルス シグネチャを使用せず検出できるため、Trapsのお客様は、金曜日に表面化したこのランサムウェア攻撃の最初の報告より前から保護されていました。また、このマルウェア防御機能はデフォルトで有効になっているため、お客様は、この保護機能を無効にしない限り、ポリシー設定を変更することなく自動的に保護されます。
WildFireクラウドベースの詳細解析: Trapsは、ローカル解析と組み合わせて、より詳細な解析を行うために、クラウド脅威解析WildFireに未知の実行可能ファイルを自動的に送信します。これを受けてWildFireは、自動的に新しい防御制御を作成して、Traps (およびPalo Alto Networksの次世代セキュリティ プラットフォームのその他のコンポーネント)と共有します。これは、自動で、わずか5分で実行できます。このマルウェア防御機能では、WanaCrypt0rの新しい亜種と未知の亜種だけでなく、その他のマルウェアも識別できます。さらに、Trapsのお客様は、WildFire判定が出るまで、未知のプログラムの実行を防ぐように簡単に設定することができます。この追加の制御は、Traps v3.4およびv4.0ではデフォルトでONにはなっていませんが、基本的に、WanaCrypt0rランサムウェアのブロックには不要です。
実行制御: 実行制御によって、WanaCrypt0rがターゲット マシン上の一時フォルダに作成するマルウェア プログラムを実行しないようにできます。実行制御は、デフォルトで使用可能なWildFireおよびローカル解析防御機能を補完する追加の防御層として機能します。セキュリティ要件が高度なTrapsのお客様は、この防御機能によってデフォルトの防御を強化することを選択できます。ただし、この機能は手動で設定する必要があります。現在、WanaCrypt0rに関連する既知の場所および実行可能ファイルの立証済みの包括的な一覧がないので、Trapsのお客様は状況に応じて新しい実行制御を追加することを検討する必要があります。
WanaCrypt0rマルウェア拡散の阻止
前述のマルウェア防御機能に加えて、Traps v4.0で導入された子プロセス保護は、WanaCrypt0rで使用されるいくつかの手法で被害者のネットワーク全体に拡散しないように防止します。Palo Alto Networksは、Traps v4.0で、特定の子プロセス保護ポリシーの適用プロセスを自動化するコンテンツ更新(#15-1078、お客様はサポート ポータルから入手可能)をリリースしました。お客様は可能な限り、この更新を適用することをお勧めします。
Trapsおよび次世代セキュリティ プラットフォーム
Trapsプロテクションは、Palo Alto Networksの次世代セキュリティ プラットフォームを構成する重要なコンポーネントです。次世代セキュリティプラットフォームで使われるされる脅威インテリジェンスによって防御力が強化され続けます。スタンドアロン導入(その他のPalo Alto Networksテクノロジを導入していない)でTrapsを使用しているお客様は、他のお客様によって先に検出されたWanaCrypt0rの亜種の情報が共有されることで感染を防ぐことができるメリットがあります。
次世代セキュリティ プラットフォームのその他のコンポーネントと共にTrapsを導入しているお客様は、これらの強力な標準防御機能に加えて、複数の補完的な防御と制御によって、攻撃のライフサイクル全体にわたって、WanaCrypt0rランサムウェアをブロックできます。これらの補完的な防御と制御については、ブログ記事「Palo Alto Networks Protections Against WanaCrypt0r Ransomware Attacks」(WanaCrypt0rランサムウェア攻撃に対するPalo Alto Networksによる防御)で概要を説明しています。
WanaCrypt0rランサムウェア攻撃は進化を続けています。このランサムウェアの新しい亜種や更新された亜種が近い将来に発見される可能性があります。新しい情報が入り次第、Trapsに関する追加の詳細でこの記事を更新する予定です。
May 13, 2017
