HOME情報セキュリティ更新:感染が拡大中のランサムウェアの対策について

本文を印刷する

情報セキュリティ

更新:感染が拡大中のランサムウェアの対策について

最終更新日:2017年6月30日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

 欧州各国を中心に6月27日(現地時間)に再び、ランサムウェアの感染被害が確認され、多くの機関において業務に支障が出るなどの深刻な影響が発生しています。

 今回観測されているランサムウェアは OS (オペレーティングシステム)を読み込むための領域を破壊する「Petya(ペトヤ/ペチャ)」と呼ばれるマルウェアの亜種であると考えられます。

 現時点で、日本での被害は確認されていませんが、今後日本でも同様の攻撃が発生する可能性が考えられます。ランサムウェアに感染するとコンピュータのファイルが暗号化され、OS が起動しなくなり、コンピュータが使用できない被害が発生する可能性があります。

 また、今回の感染経路は現時点では、特定されていませんが、Microsoft社 の製品の脆弱性(MS17-010、CVE-2017-0199)を悪用されていると報告されています。 1 台が感染すると、ネットワーク経由で複数のコンピュータに感染が広がる可能性があります。

 なお、現時点では今回確認されている Petya の亜種 によって暗号化されたファイルを復号し元に戻す方法(ツール)は確認されていません。

---2017/6/29 更新---
感染した場合に表示される画面の一例
図:感染した場合に表示される画面の一例

対策

1.不審なメールの添付ファイルの開封やリンクへのアクセスをしない

今回のランサムウェアの感染には細工したメールの添付ファイルを開封させる等の方法が用いられていると報道されています。
メールの確認作業をする前に必ず以下の「2.」「3.」の対策を実施してください。
また、不審なメールを確認した場合はシステム管理者等に問題ないか確認してください。

2.脆弱性の解消 - 修正プログラムの適用

Microsoft 社から提供されている修正プログラムを適用して下さい。Windows Update の利用方法については以下のサイトを参照してください。

3.ウイルス対策ソフトの定義ファイルを更新する

 各ウイルス対策ソフトをアップデートしてください。
 ご利用されているウイルス対策ソフトが今回のランサムウェアを検知するかについては各ベンダにご確認ください。

---2017/6/29 更新---

4.定期的なバックアップをする

 ランサムウェアに感染した場合に備え、重要なデータは定期的なバックアップを実施してください。バックアップデータを保存した機器はコンピュータやネットワークから切り離して保管してください。

感染した場合の対応

感染してしまった場合、以下の窓口へご相談ください。
- IPA
情報セキュリティ安心相談窓口
https://www.ipa.go.jp/security/anshin/

Tel: 03-5978-7509
(なお、受付時間は平日の10:00~12:00および13:30~17:00とさせていただいています。)
E-mail:電話番号:03-5978-7509までお問い合わせください。

IPA による検証結果

---2017/6/30 更新---

IPAが入手した「Petya」の亜種(※1)について、以下の動作を確認しました。なお、下記「参考情報」にある各セキュリティ関係組織が公開している情報と同じ動作となります。

PCのロック
  • 本ランサムウェアに感染すると、OSの起動に必要な領域が書き換えられることにより、正常に起動できなくなる
PC内データの暗号化
  • 本ランサムウェアに感染すると、PC内の一部のファイルを暗号化される。
  • 暗号化時、「ファイルの拡張子が変わる」 「壁紙が変わる」「金銭要求をするウインドウが出る」といった画面上の変化はないため感染に気づきにくい。
ネットワーク内PCへの感染拡大
  • 本ランサムウェアは、感染したPCと同一のネットワーク上にある他のPCへの感染拡大を試みる。
脅迫画面の表示
  • ランサムウェア感染後の再起動時、ディスク修復処理中のような画面を表示する。
  • その後、暗号化されたファイルを元に戻すためには金銭を支払うよう脅迫する画面を表示する。

各セキュリティ関係組織より、本ランサムウェアは複数の感染拡大手法を持っているという情報が公開されていますが、IPAで確認した、ネットワーク内PCへの感染拡大の手法は以下の通りです。

1.Windowsの管理共有機能を悪用した手法

Windowsの管理共有機能を悪用し、最初に感染したPC内のユーザIDとパスワードを使って他のPCに本ランサムウェアを送り込み、実行することにより感染を拡大します。
緩和策としては、PCごとに異なるパスワード設定することで、この手法による感染を防止できることを確認しました(※2)。

2.Windowsのファイル共有機能(SMB)の脆弱性を悪用した手法

上述のMicrosoft社の製品の脆弱性を悪用し、他のPCに本ランサムウェア自身を送り込み、実行することにより、感染を拡大します。
対策としては、この脆弱性(MS17-010)を修正するパッチを適用することにより、この手法による感染を防止できることを確認しました。

ウイルス感染したPCはネットワークから切り離すことが基本的な対処ですが、本ランサムウェアは、感染してもすぐに利用者に気づかせないようにしながら、ネットワーク内のPCへ感染拡大を試みるという仕組みとなっています。すなわち、より被害を大きくするための工夫が施され、悪質となっていると考えます。今回の「Petya」亜種に限らず、今後更にランサムウェアの危険性が高まる可能性があり、注意が必要です。

※1. IPAが入手した「Petya」亜種のハッシュ値(ファイル等の同一性を容易に確認する値):
SHA-256 : 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

※2. Active Directoryを使用していない環境で検証を行いました。

参考情報

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター

E-mail:

※個別の環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2017年6月30日 追記:IPA による検証結果と緩和策
2017年6月29日 概要:図の追加
対策:対策方法の追加
参考情報:リンクの追加
2017年6月28日 掲載