今すぐできるWannaCry対策:セキュリティパッチ適用詳説(1/3 ページ)
猛威を振るうランサムウェア「WannaCry」。必ずしも管理が行き届いていない企業内システムで、Windowsに対策パッチを急いで適用する方法は? 脆弱性の見つかったSMBv1を無効化する方法を追記。
本稿は2017年5月17日に初版を公開した「今すぐできるWannaCry対策」の改訂記事です(SMBv1を無効化するための手順と注意点を追記しました)。
2017年5月、「WannaCry(Wanna Crypt、WannaCryptor、Wcry)*1」などと呼ばれるランサムウェアが世界中で猛威を振るった。医療機関などで深刻な被害が生じている他、日本でも被害が報道されている。
Windowsを管理・運用しているなら、早急に対策する必要がある。本稿では、企業内システムで、WannaCryの感染拡大を防ぐためのパッチや回避策(SMBv1の無効化)を急いで適用する方法について、“現実的な観点”から考えてみる。
*1 実際にはWannaCryの亜種のようだが、以下ではまとめて「WannaCry」と称することにする。
セキュリティパッチは2カ月前から適用可能だった
WannaCryは感染を広げるのに、ファイル共有プロトコル「SMBv1」の実装上の脆弱性を悪用する。この脆弱性が存在するWindows OSとSMBv1で通信可能なら、LANに限らずインターネット経由でも認証なしでいきなり攻撃(≒感染)が可能という危険なものだ(この点から、WannaCryはネットワーク経由で直接感染する「ワーム」の挙動も持ち合わせているといえる)。
ただし、この脆弱性については、2017年3月にマイクロソフトが「MS17-010」として公表し、同時にセキュリティパッチをリリース済みである。Windows UpdateやWSUS*2でも配信されているので、毎月の定例パッチと同じ手順/タイミングで適用することが可能だった。
つまり、同年5月中旬にWannaCryの被害が続発し始める約2カ月前から、対策パッチを適用して防御を固めておくチャンスがあったわけだ。
*2 WSUSでパッチを管理している場合は、マイクロソフトの「[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)」が大変参考になるだろう。
サポートが終了しているWindows OSにも感染する!
WannaCryの事件で特徴的なのは、Windows XPのようにマイクロソフトによるサポートが終了したOSにも感染した事例があったことだ。
サポートが終了すると通常は、それ以後に発覚した脆弱性が修正されることはない。そもそも新たな脆弱性が存在するかどうかも公表されない。こうした活動自体が「サポート」の範疇である以上、サポート終了後に行われないのは当然のことだ。
しかし結果としてWannaCryに脆弱性を突かれ、いまだWindows XPを利用している企業などで被害が生じてしまった。これに対してマイクロソフトは例外的に、サポートが終了しているWindows XP/Windows 8/Windows Server 2003にもセキュリティパッチをリリースした。詳細については、以下の記事をぜひ参照していただきたい。
- ランサムウェア「Wanna Cryptor」に対し、異例のセキュリティパッチをWindows XPに提供する意味(@IT Server & Storageフォーラム)
「そもそも」論では済まない
そもそもWindowsシステムがしっかり管理・運用されていれば、セキュリティパッチは適切なタイミングで適用されている「はず」だし、ソフトウェア製品はサポートライフサイクルに従ってサポート終了前にアップグレードされている「はず」だ。
だが現実には、100%管理が行き届いた現場ばかりではない。現実の企業内システムでは、次のような事態も有り得るだろう。
- どのバージョンのWindowsが実際に使われているか把握しきれていない
- どのPCにどこまでパッチが適用済みか把握しきれていない
- ネットワーク経由で全PCを網羅的に調査・操作する体制になっていない
このような状況で、WannaCryが狙う脆弱性を一刻も早く修正するには、どうすればいいのか?
オフラインでパッチを適用するという方法
まず、言うまでもなく「1台ずつWindows Updateで全パッチを適用する」ことが挙げられる。ただ、しばらくパッチ適用を怠っていると、Windows Updateによるパッチの検索と適用に長い時間がかかることがしばしばある。これは解消可能だが、そのための手間が掛かる。またサポート終了OSの場合、Windows Updateでは新パッチを適用できない。
その他には、オフラインで適用可能なパッチのインストーラをダウンロードし、USBメモリ*3で各PCに配布・実行・適用する、という方法が考えられる。ネットワークから切り離しても適用できるため、WannaCryのようなLAN経由の感染が疑われる環境・状況でも作業しやすい。
*3 USBメモリ経由でマルウェアが広まらないよう、USBメモリにファイルを書き込む作業用PCとそのネットワークでは厳重にマルウェア対策を施す必要がある。また書き込み禁止機能を持つUSBメモリを利用すれば、適用対象PCからUSBメモリを介して感染が広がる可能性を大幅に下げられる。
本稿ではコマンドラインコマンドをなるべく活用して、(サポート終了OSを含む)どのバージョンのWindowsにもほぼ同じ手順で対策パッチを適用する方法を紹介する。バッチファイルである程度自動化すれば、適用にかかる手間や時間を抑えられるだろう。
対象はWindows XP以降の全Windows OS(日本語版)とする。ただし組み込み系OSについては触れない(それでも参考にはなるだろう)。
大まかな手順を以下に記す。
- 対策パッチをダウンロードしてUSBメモリに保存する
- 対象システムのWindows OSを特定する
- 対策パッチが適用済みかどうかを調べる
- USBメモリから対策パッチを適用する
本稿執筆時点でWannaCryが感染に用いているコードはWindows 10には無効とのことだ。そのため、Windows 10以外のOSを優先してパッチを適用した方がよいだろう。
本稿の3ページ目では、将来の脆弱性に備えてSMBv1を無効化する方法や注意点を説明する。
対策パッチをダウンロードしてUSBメモリに保存する
オフラインで適用可能なWindows OS用パッチはマイクロソフトのWebサイトから無償でダウンロードできる。ただ、OSの種類やアーキテクチャ(32bit/64bit)などによってパッチのインストーラ(*.exe、*.msu)は異なるので、それぞれダウンロードする必要がある。
そこで、MS07-010の脆弱性を解消できるパッチのうち、2017年5月中旬の時点で最新のものを以下にリストアップしてみた。Internet Explorer(IE)を使ってダウンロードする場合は「〜(IE向け)」列、それ以外のブラウザは「〜(IE以外)」列の方のリンクをそれぞれクリックしていただきたい。
OS | ダウンロードページ(IE向け) | ダウンロードページ(IE以外) | 以下のタイトルの[ダウンロード]ボタンをクリック |
---|---|---|---|
Windows XP | ダウンロードセンター | ダウンロードセンター | − |
Windows Vista(32bit) | 「KB4012598」検索結果 | 「KB4012598」検索結果 | Windows Vista 用セキュリティ更新プログラム (KB4012598) |
Windows 7(32bit) | 「KB4019264」検索結果 | 「KB4019264」検索結果 | 2017-05 x86 ベース システム用 Windows 7 向けセキュリティ マンスリー品質ロールアップ (KB4019264) |
Windows 8(32bit) | ダウンロードセンター | ダウンロードセンター | − |
Windows 8.1(32bit) | 「KB4019215」検索結果 | 「KB4019215」検索結果 | 2017-05 x86 ベース システム用 Windows 8.1 向けセキュリティ マンスリー品質ロールアップ (KB4019215) |
Windows 10 バージョン1507(32bit) | 「KB4019474」検索結果 | 「KB4019474」検索結果 | 2017-05 x86 ベース システム用 Windows 10 の累積更新プログラム (KB4019474) |
Windows 10 バージョン1511(32bit) | 「KB4019473」検索結果 | 「KB4019473」検索結果 | Windows 10 Version 1511 用の累積的な更新プログラム (KB4019473) |
Windows 10 バージョン1607(32bit) | 「KB4019472」検索結果 | 「KB4019472」検索結果 | 2017-05 x86 ベース システム用 Windows 10 Version 1607 の累積更新プログラム (KB4019472) |
32bit版クライアントWindows OSの各パッチのダウンロードページ 「ダウンロードセンター」は単にリンク先ページで[ダウンロード]ボタンをクリックすれば該当パッチをダウンロードできる。「〜検索結果」の方は、リンク先ページで該当のタイトルを探して、その行の[ダウンロード]ボタンをクリックする。なお、上表にWindows 10 バージョン1703(Creators Update)がないのは、そのリリース時点でMS17-010の脆弱性が修正済みのため。 |
OS | ダウンロードページ(IE向け) | ダウンロードページ(IE以外) | 以下のタイトルの[ダウンロード]ボタンをクリック |
---|---|---|---|
Windows Vista(64bit) | 「KB4012598」検索結果 | 「KB4012598」検索結果 | Windows Vista for x64-Based Systems 用セキュリティ更新プログラム (KB4012598) |
Windows 7(64bit) | 「KB4019264」検索結果 | 「KB4019264」検索結果 | 2017-05 x64 ベース システム用 Windows 7 向けセキュリティ マンスリー品質ロールアップ (KB4019264) |
Windows 8(64bit) | ダウンロードセンター | ダウンロードセンター | − |
Windows 8.1(64bit) | 「KB4019215」検索結果 | 「KB4019215」検索結果 | 2017-05 x64 ベース システム用 Windows 8.1 向けセキュリティ マンスリー品質ロールアップ (KB4019215) |
Windows 10 バージョン1507(64bit) | 「KB4019474」検索結果 | 「KB4019474」検索結果 | 2017-05 x64 ベース システム用 Windows 10 の累積更新プログラム (KB4019474) |
Windows 10 バージョン1511(64bit) | 「KB4019473」検索結果 | 「KB4019473」検索結果 | x64 ベース システム用 Windows 10 Version 1511 の累積的な更新プログラム (KB4019473) |
Windows 10 バージョン1607(64bit) | 「KB4019472」検索結果 | 「KB4019472」検索結果 | 2017-05 x64 ベース システム用 Windows 10 Version 1607 の累積更新プログラム (KB4019472) |
64bit版クライアントWindows OSの各パッチのダウンロードページ |
OS | ダウンロードページ(IE向け) | ダウンロードページ(IE以外) | 以下のタイトルの[ダウンロード]ボタンをクリック |
---|---|---|---|
Windows Server 2003/2003 R2(32bit) | ダウンロードセンター | ダウンロードセンター | − |
Windows Server 2008(32bit) | 「KB4012598」検索結果 | 「KB4012598」検索結果 | Windows Server 2008 用セキュリティ更新プログラム (KB4012598) |
Windows Server 2008(64bit) | 「KB4012598」検索結果 | 「KB4012598」検索結果 | Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4012598) |
Windows Server 2008 R2 | 「KB4019264」検索結果 | 「KB4019264」検索結果 | 2017-05 x64 ベース システム用 Windows Server 2008 R2 向けセキュリティ マンスリー品質ロールアップ (KB4019264) |
Windows Server 2012 | 「KB4019216」検索結果 | 「KB4019216」検索結果 | 2017-05 x64 ベース システム用 Windows Server 2012 向けセキュリティ マンスリー品質ロールアップ (KB4019216) |
Windows Server 2012 R2 | 「KB4019215」検索結果 | 「KB4019215」検索結果 | 2017-05 x64 ベース システム用 Windows Server 2012 R2 向けセキュリティ マンスリー品質ロールアップ (KB4019215) |
Windows Server 2016 | 「KB4019472」検索結果 | 「KB4019472」検索結果 | 2017-05 x64 ベース システム用 Windows Server 2016 の累積更新プログラム (KB4019472) |
Windows Serverの各パッチのダウンロードページ |
パッチをダウンロードしたら、USBメモリにコピーする。ファイル名が重複する場合があるので、OSの種類/アーキテクチャごとにフォルダを作って分類した方がよいだろう。
Copyright© Digital Advantage Corp. All Rights Reserved.