HOME情報セキュリティ更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について

本文を印刷する

情報セキュリティ

更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について

最終更新日:2017年5月18日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

 2017年3月15日(日本時間)にMicrosoft製品に関する脆弱性の修正プログラム MS17-010別ウィンドウで開くが公表されました。
 この脆弱性がランサムウェアの感染に悪用され国内を含め世界各国で被害が確認され、英国では医療機関において業務に支障が出るなどの深刻な影響が発生しています。
 ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。

 今回観測されているランサムウェアは Wanna Cryptor と呼ばれるマルウェア (WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられます。

※ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。

---2017/5/17 更新---
現時点では、この Wanna Cryptor の感染経路は特定できておりません。
脆弱性を悪用し、ネットワーク経由で複数のコンピュータに感染が広がる可能性があります。
IPA には、モバイル環境(※)を利用してインターネットに接続している Windows コンピュータにおいて、この Wanna Cryptor に感染したという報告も寄せられています。
※LTE 等の通信モジュールを内蔵している PC、USB 等の通信ドングルを利用している場合などを意味する

また、現時点で今回の Wanna Cryptor によって暗号化されたファイルを復号して元に戻す方法(ツール)は確認されていません。

なお、今回の件に便乗した不審なメールやサービスが出回る可能性がありますので、引き続き不用意なメールの添付ファイルの開封やリンクへのアクセスを行わない様にご注意ください。

感染した場合に表示される画面の一例
図:感染した場合に表示される画面の一例

対策

週明け(5月15日)には業務開始前に下記対策の実施を推奨します。

---2017/5/17 更新---
ネットワーク経由で感染する可能性があるため、まずネットワークとの接続を外し、オフラインでデータをバックアップしてください。その後、ネットワークに再度接続し、以下の作業を実施してください。

1.不審なメールの添付ファイルの開封やリンクへのアクセスをしない

今回のランサムウェアの感染には細工したメールの添付ファイルを開封させる等の方法が用いられていると報道されています。
メールの確認作業をする前に必ず以下の「2.」「3.」の対策を実施してください。
また、不審なメールを確認した場合はシステム管理者等に問題ないか確認してください。

2.脆弱性の解消 - 修正プログラムの適用

Microsoft 社から提供されている修正プログラムを適用して下さい。Windows Update の利用方法については以下のサイトを参照してください。

※Windows XP / 8および Windows Server 2003は既にサポートが終了しています。今回は影響を考慮し例外的にパッチが公開されました。
 このパッチの公開は非常に例外的な対応のため、Windows XP / 8および Windows Server 2003を使用している方は早急にサポート中の製品に移行してください。

3.ウイルス対策ソフトの定義ファイルを更新する

 各ウイルス対策ソフトをアップデートしてください。
 ご利用されているウイルス対策ソフトが今回のランサムウェアを検知するかについては各ベンダにご確認ください。

IPAに寄せられている相談に関する情報

IPAに寄せられているランサムウェアの相談について
https://www.ipa.go.jp/security/anshin/mgdayori20170515.html

感染した場合の対応

感染してしまった場合、以下の窓口へご相談ください。
- IPA
情報セキュリティ安心相談窓口
https://www.ipa.go.jp/security/anshin/

Tel: 03-5978-7509
(なお、受付時間は平日の10:00~12:00および13:30~17:00とさせていただいています。)
E-mail:電話番号:03-5978-7509までお問い合わせください。

- JPCERT/CC
JPCERT コーディネーションセンター インシデント対応依頼
https://www.jpcert.or.jp/form/#report別ウィンドウで開く
Tel: 03-3518-4600
Email:info@jpcert.or.jp

参考情報

    脆弱性検証報告
  • Microsoft Windows 製品のSMBv1 サーバーの脆弱性により、リモートから任意のコードが実行可能な脆弱性(MS17-010)に関する調査レポート | ソフトバンク・テクノロジー
    https://www.softbanktech.jp/information/2017/20170508-01/別ウィンドウで開く

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

※個別の環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2017年5月18日 対策:リンクタイトルの修正
IPAに寄せられている相談に関する情報:リンクタイトルの修正
2017年5月17日 概要:情報の追加
対策:対策手順の追加
IPAに寄せられている相談に関する情報:項目の追加
参考情報:リンクの追加
2017年5月15日 対策:リンク情報の訂正
概要:図の追加
参考情報:リンクの追加
2017年5月14日 掲載