ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindowsの脆弱性対策:山市良のうぃんどうず日記(95:特別編)(2/2 ページ)
ランサムウェア「WannaCry」の世界的な感染や、日本国内での感染報告を聞いて、慌ててWindows Updateを実行したユーザーやIT部門の方は多いのではないでしょうか。“セキュリティパッチを当てたからこれで安心”なんて思ってはいけませんよ。
あらためてチェックしよう! SMBのセキュリティ対策
今回のランサムウェアが利用するMS17-010の脆弱性は、Windows標準のファイル共有プロトコルである「SMB(Server Message Block)」の、古いバージョン「SMB v1」(SMB 1.0/CIFSとも呼ばれます)に存在していた脆弱性でした。
SMB v1のセキュリティ問題に関しては、古くから言われてきたことで、特に2017年に入ってからはゼロデイ攻撃のリスクが高まっていました。以下の記事でも、MS17-010の情報公開前に、SMBのセキュリティ対策について説明しました。
- 再チェック! ファイル共有プロトコル「SMB」のためのセキュリティ対策(本連載 第83回)
SMBのバージョンの違いや仕組みについては、以下の記事で詳しく説明しました。今回の騒動を受け、Microsoft-DSの445/TCPポートをルーターやPCのファイアウォールでブロックして安心している人がいるかもしれませんが、SMBはアプリケーション層のプロトコルであり、トランスポート層非依存の仕様です。SMB v1はトランスポート層として445/TCPだけでなく、NetBIOS over TCP(NBT)の139/TCPも使用することにご注意ください。
- ファイル共有プロトコル、SMBとCIFSの違いを正しく理解できていますか?(前編)(連載:その知識、ホントに正しい? Windowsにまつわる都市伝説 第23回)
- ファイル共有プロトコル、SMBとCIFSの違いを正しく理解できていますか?(後編)(連載:その知識、ホントに正しい? Windowsにまつわる都市伝説 第24回)
騒動になったのは目立つのが目的のマルウェアだから
今回、大きな騒動になった要因の1つは、ファイルを暗号化して金銭などの支払いを要求する「ランサムウェア」というタイプであったということがあると思います。「スケアウェア」というタイプ(暗号化や感染は行わず、脅して何かを買わせようとするタイプ)もそうですが、目立つことがこれらのマルウェアの特徴です。
マルウェアの中には、ユーザーには気付かれずに情報を抜き取ったり、別の攻撃への踏み台にしたり、ビットコインのマイニング(採掘)ツールを実行するためにコンピューティングリソースを盗んだりといったものもあります。マイニングツールの中には、CPU使用率の上昇でユーザーに気付かれることがないように、GPU(グラフィックスプロセッシングユニット)を利用するものも存在すると聞いたことがあります。
未公表の脆弱性を突いたゼロデイ攻撃を防ぐには、まず、セキュリティ対策の基本(OSやアプリケーションのセキュリティパッチの適用、マルウェア対策と定義ファイルの更新、ファイアウォールの有効化など)を怠らないことが重要です。
今回は数カ月間の猶予があったわけで、ゼロデイ攻撃ではなかったのにもかかわらず、世界中で大きな被害が出ました。その理由は、セキュリティ対策の基本の1つである“セキュリティパッチの適用”ができていなかったからでしょう。一方で、Windows Updateのトラブルで更新に失敗していたユーザーも少なからずいると思います。Windows Updateの品質改善は、マイクロソフトに強く求めたいところです。
今回はサポートが終了したWindowsに対しても特例措置がとられたわけですが、サポートが終了したWindowsには他にも既知の、あるいは未知の脆弱性が多数存在することは間違いありません。そして、脆弱性が存在するとしても、公表されることはありません。「マイクロソフトセキュリティ情報MS17-010」を確認してみてください。「影響を受けるソフトウェアと脅威の深刻度」のリストに、Windows XP以前、Windows Server 2003 R2以前、Windows 8は掲載されていません。今回、これらのOSに特例措置でMS17-010のセキュリティパッチが提供されましたが、修正されたのはMS17-010の脆弱性だけです。
本連載では、特定バージョンのWindowsのサポートが終了するたびに、その危険性を指摘してきました。「これらのWindowsを使うな」とは言いません。しかし、もし使い続けるのなら、多くの脆弱性が存在することを前提にして、ネットワークから完全に切り離された隔離環境で実行するなどしてください。少なくとも感染を広げるような、第三者の迷惑になることだけは避けてほしいものです。
- Windows 10初期リリース(1507)のサービス終了のお知らせ(本連載 第93回)
- “Windows Vistaのサポート終了のお知らせ”のお知らせ(本連載 第86回)
- Windows 8、古いInternet Explorerのサポートが終了した日(本連載 第57回)
- サヨウナラ Windows Server 2003! マルウェア対策の定義更新はいつまで続く?(本連載 第43回)
- Windows XPサポート終了から1年、Windows Server 2003の終了はもうすぐ(本連載 第29回)
- “Windows XPのサポート終了のお知らせ”のお知らせ(本連載 第1回)
最新情報(2017年6月14日追記)
サポートが終了したWindows向けに、2017年6月に新たに多数のセキュリティ更新プログラムが提供されています。Windows Updateで自動配布されることはなく、1つずつ手動でダウンロードして、インストールする必要があります。
- June 2017 security update release(MSRC)[英語](Microsoft TechNet)
- マイクロソフト セキュリティ アドバイザリ 4025685:古いプラットフォームのためのガイダンス:2017年6月13日(マイクロソフト サポート)
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ランサムウェア「Wanna Cryptor」に対し、異例のセキュリティパッチをWindows XPに提供する意味
世界的に猛威を振るっているランサムウェア「Wanna Cryptor」に対し、マイクロソフトはサポートが既に終了しているWindows XP、Windows Server 2003、Windows 8(8.1ではない)向けに緊急のセキュリティ更新プログラムの提供を開始しました。 - 今すぐできるWannaCry対策
猛威を振るうランサムウェア「WannaCry」。必ずしも管理が行き届いていない企業内システムで、Windowsに対策パッチを急いで適用する方法は? 脆弱性の見つかったSMBv1を無効化する方法を追記。 - 世界中のITシステムが混乱 「Wanna Cryptor」の脅威から身を守るために今すぐできること
暗号型ランサムウェア「Wanna Cryptor」を使ったサイバー攻撃が世界中で発生している。あらためて「Wanna Cryptor」とは何か、被害に遭わないようにするにはどう対策すればよいか。セキュリティ企業のESETが解説した。 - 「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る
「サイバー攻撃者の手法」を解説する本連載。今回はその「外伝」として、ランサムウェア被害者へのインタビューをお届けする。感染に気付いてから復旧に至るまでの“ランサムウェア被害の生々しい実態”をぜひ知ってほしい。