昨日、60カ国の国々にある企業が、悪徳なPetyaランサムウェア(英語ページ)の一群による同時攻撃(英語ページ)を受けました。攻撃の規模の大きさ、並びにそれが企業を標的に設計されたものであった事から、
今回の攻撃は先月大流行したWannaCryに匹敵するもの(英語ページ)と指摘する人も多くいます。
また、2つの攻撃には類似性もありますが、企業が自身を守るために知っておくべき重要な違いもあります。ここで、企業がセキュリティを確保するために心得ておくべき事柄をいくつか、説明します。
Petyaは、攻撃にユーザー自身のログイン資格情報を使用します。
Petyaが拡散のために使っている手法の一つが、ローカル管理者資格情報へのアクセスです。これにはいくつかの異なるメカニズムが存在します。いったん管理者としてのログイン情報へのアクセスが可能になると、Petyaは標準のWindowsメカニズムを使ってマシン間をジャンプできるようになります。
解決策: F-SecureラボのリードリサーチャーであるJarno Niemelä (ジャルモ・ニーメラ) 氏(英語ページ)によると、ほかに確実なセキュリティ保護手段を用意できるまでは、企業においては管理者パスワードの使用時に注意を払うことが最善の対応策だと言います。
Jarno氏は、「脆弱性に不安のある企業では、社員に対し、ドメイン管理者の資格情報を使ったワークステーションへのログインを回避するように、また、もしログインした場合には、必要な作業が完了した後にはシステムを再起動するように指導するべきです。また、ローカル管理者アカウントを設定してあるすべてのコンピューターでは、すべてのローカル管理者のアカウントに固有のパスワードを使用するようにするべきです」と述べています。
Petyaは、SMB悪用以外にも多くのネットワーク経由の拡散手段を持っています。
EternalBlueは、Windowsのほとんどのバージョンで使用されているSMBプロトコルの脆弱性を利用する、アメリカ国家安全保障局(NSA)が開発した悪用手段です。脆弱性に対するパッチは提供されており、まだ適用していない場合は企業がこのパッチを速やかに適用するべきであるのは明らかです。
ただし、現在のようなPetyaの爆発的拡散に関しては、手段はほかにもあることも明らかになっています。WannaCryが使うSMBの脆弱性にパッチを当てるだけでは、感染の拡大を防止するには足りません。
Petya uses the NSA Eternalblue exploit but also spreads in internal networks with WMIC and PSEXEC. That's why patched systems can get hit.
— @mikko (@mikko) June 27, 2017
その他の感染ベクトルとしては、正当なWindowsプロセスを使って拡散させるというものがあります。詳しく言えば、Windows管理者ツールであるPSEXECおよびWMICを経由したランサムウェアの実行を試行します。これは管理者のログイン資格情報を使って実行されます (上述のとおり)。
解決策: F-Secureのプリンシパルセキュリティ・コンサルタント、Tom Van de Wiele (トム・ヴァン・デ・ヴィーレ) 氏(英語ページ)によると、企業がこれらのツールを使って感染の拡大を防止するには、以下に示すように行わなければならないいくつかのステップがあるといいます。
- 事前に、C:\windows\perfc のファイルを作成し、このファイルからのすべてのWindowsマシンに対する読み書き権限を無効にします。Petyaはこのファイルが現れるとそこには関わりません。
- exeへの呼び出しを置き換えます。 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”内に“psexec.exe”というキーを作成し、“debugger”というREG_SZ値を作成して“svchost.exe”に設定します。このようにしておくと、psexecは起動しません。
- リモートログインに対するローカルAD / GPOアカウントの使用を無効にし、psexec/wmic のコンボを無効にします。
- Windowsで可能な場合には、不要なWMICを無効にします。
- wmicリクエストに対する135/tcp (winrpc)への着信要求を ファイアウォールでブロックします。
- Eternalblueリクエストに対する445/tcp (cifs)への着信要求を ファイアウォールでブロックします。これは先のWannaCry対策と同じです。
レポートはこれを「ベンダーのサプライチェーン攻撃」と考えています。
Petyaのネットワーク上での振る舞いが明らかになってきています。しかしはっきりしていないのが、初回感染の発生状況です。現在、最も初期の感染は、会計ソフトを開発しているウクライナ系企業を発端とする、悪意のあるソフトウェアによるアップデートから生じているとの報告が複数あります。
これは、このウクライナのベンダーのシステムが感染していたか、攻撃者が”man-in-the-middle”攻撃 (中間者攻撃) でこのベンダーのカスタマを感染させることができたことを意味すると考えられます。
F-Secureのテクノロジーエクスパート、Andy Patel (アンディ・パテル) 氏(英語ページ)は、「サプライチェーンのベンダーへの攻撃は、当該サービスを使用している特定のクライアントの一群をターゲットとして機能します。このような「準標的型」の攻撃を経由して、単一の攻撃で複数の企業や個人に感染を広げることが可能なのです。先日のウクライナ系企業を標的としたPetyaの攻撃の場合、M.E.Docのインフラストラクチャが侵害されたかどうかは不明で、アップデートが中間者攻撃の犠牲になったのかどうかも我々は確かには把握していません。
さらに、ベンダーのサプライチェーン攻撃ではこの全世界規模の大量感染の急拡大の説明が付きません。ただこれは、多数の企業でまだ対応準備ができてない攻撃です。そこが明らかに問題です。各企業での何らかの対策が必要です。
解決策: 標的型攻撃は、特定が難しいタイプの攻撃です。最善の防御は、侵入検知システムを搭載しておくことです。例えばF-SecureのRapid Detection Service(英語ページ)は、ネットワーク内で悪意あるファイルの異常な振る舞いがあればそれを検知します。
F-Secureをはじめとする多数のセキュリティソリューションは、上記のような多様な戦術や技術、手順から企業が身を守るための様々な手段を提供しています。
カテゴリ