Select Language : English 日本語
Global Site : NTT Ltd.

WannaCryに感染するとどうなる?確認方法と対策のまとめ

世界中で、多くの被害を起こしたランサムウェアWannaCryは、感染するとどのような状況を引き起こすのでしょうか?コンピュータ内への侵入確認や、対策のための有効な方法を詳しく解説します。社内のセキュリティに役立てましょう。

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業 ◆Case2:製造業
◆Case3:建築業 ◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

ネットワークセキュリティ環境について、ご意見お聞かせください。

Q1:セキュリティ対策の導入について

Q2:自社のセキュリティ対策について

Q3:今回の訪問の目的は何ですか

WannaCryに感染したら

PCに入り込んだWannaCryは、どのような問題を引き起こすのでしょうか?PCに起こる症状と、特徴的な活動について解説します。

自動感染活動

まず実行するのは、自動的に感染を広げる活動です。これは、Windowsのネットワークにある『MS17-010』という脆弱性を利用して実行されます。 アクセスできるPCに自動的に接続するため、放っておくと社内中にWannaCryが広まります。 社内ネットワークをセグメント分けしている場合でも、セグメントを超えてアクセスする可能性があるので注意しなければいけません。攻撃するIPアドレスを自動生成するからです。 IPアドレスが社内の他のネットワークのものであれば、そこに飛び火することが考えられます。社外のIPアドレスでも、インターネットを通じて広まっていく可能性さえあるのです。

PCが使い物にならなくなる

データを暗号化するWannaCryは、制限解除のための身代金(=ランサム)を要求するマルウェアです。PCにあるデータの多くが暗号化されてしまいます。 同時に、利用しているサービスも停止されます。業務に使用しているソフトが使えなくなる、データの閲覧ができなくなるといった、業務上の深刻な事態が引き起こされるでしょう。

自社PCの感染確認方法と追跡

自社PCにWannaCryが入り込んでいるか不安な場合には、侵入の有無を確認しましょう。複数ある確認方法と追跡方法について解説します。

感染の有無のチェック

自社PCをチェックするには、DNSサーバーのクエリログやファイアウォールのログなどを確認しましょう。 DNSサーバーのクエリログを確認するときには、WannaCry関連のドメイン名が残っていないかチェックします。 ファイアウォールのログで感染を確認できるのは、IPアドレスを自動生成し、445/tcpポートからインターネットを通じて外部へ接続しようとする特徴があるからです。そのため、445/tcp接続の記録もチェックしてください。

追跡と感染経路の特定

どこから侵入し、どういった経路で拡大していったのかルートを特定し、感染機器を隔離する必要もあります。 ただし、セキュリティログをチェックしても追跡はできません。そこで、通信ログやファイアウォールのログに通信記録がないか確認します。 こうした追跡できるログが取得されていない場合には、Microsoft社の『Sysmon』を導入しましょう。WannaCryが利用する445/tcp通信のログを取得できます。 感染したPCかチェックするには、EDR製品が役立つかもしれません。感染時にインストールされるサービスが、イベントID7045で記録されている可能性があるためです。

キルスイッチへのアクセスで動作停止

活動をやめさせるには、キルスイッチというドメインへアクセスします。キルスイッチへ無事にHTTPアクセスができると、動作を停止するのです。ただし、この方法で動作が止まったとしても、PC上には実行ファイルなどが残ったままになります。 ファイルが暗号化されていない場合でも、ネットワークでつながっている場合には、関連するファイルが残っている可能性があるので注意が必要です。 また、亜種の存在が報告されています。中にはキルスイッチが含まれないものもあるので、必ずしも有効な方法とはいえないようです。

WannaCryの対策方法

大きな脅威になり得るWannaCryですが、予防することで深刻な事態を避けられます。

セキュリティパッチの適用

対策としてまずすべきことは、WindowsUpdateのセキュリティパッチの適用です。 適切にパッチを適用していれば、脆弱性を狙う侵入を防げます。狙われる脆弱性はMS17-010として公表されているものです。セキュリティパッチもすでにリリースされています。 定期的にWindowsUpdateをしていれば適用されますが、していない場合には、速やかに実行しましょう。

オフラインでの方法も

対策はオフラインでもできます。オフラインでできれば、サポートが終了しているOSでも対策可能です。 オフラインで対策するには、まずセキュリティパッチをダウンロードしてUSBメモリに保存します。そして、USBメモリから対策パッチを適用しましょう。 利用するUSBメモリは、書き込み禁止機能を持つものを利用します。セキュリティパッチを適用するPCから、USBを経由して入り込むのを予防するためです。

インストールできない場合

セキュリティパッチをインストールできないときには、ファイアウォールのポート445を閉じましょう。これで、攻撃や侵入をブロックできます。 全てのPCでファイアウォールのポート445を閉じれば、社内で拡大することもありません。 ただし、この方法はあくまでも応急処置です。ポート445を閉じるとネットワークサービスの多くが停止してしまいます。

まとめ

ネットワークの脆弱性を狙って侵入するWannaCryは、どんどん横つながりに拡大していく特徴があります。そのため、社内のPCが使い物にならなくなり、業務にも支障をきたすのです。 脅威に対策するには、日頃から定期的なセキュリティパッチの適用をしましょう。サポートが終了しているOSを利用しているなら、セキュリティパッチをインストールしてください。 適切な対策で内部へ侵入させないことを徹底し、万一感染した場合にも素早く対応できるようにしましょう。

紹介動画

企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。

セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。

「法人向けOCNサービスとは」関連情報

新サービス! OCN光 IPoEサービス

OCN光 IPoEサービス 標準プラン

従来サービスから2倍の帯域設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離
快適なインターネット利用環境を実現

  • 法人向け設計

  • 従来サービスから2倍の帯域設計!

  • 固定IPアドレス利用可能

OCN光 IPoEサービス ワイドプラン

標準プランから3倍の帯域設計(従来サービスの6倍)
Windows Updateによる通信を
そのほかの業務用の通信から分離。
安定した通信が可能

  • 標準プランから3倍の帯域設計

  • Windows Updateによる通信をそのほかの業務用の通信から分離

OCN光 IPoE vUTMセット

IPoEインターネット接続とクラウド化されたUTMをセットで提供。アップデートや保守はNTT Comが行うため、常に最新のセキュリティ対策を実現。
クラウド利用時のセキュリティ対策にも最適

  • インターネット接続とセキュリティ対策 セットで提供

  • 専門スキルを有する人材不要

  • 常に最新のセキュリティ対策を実現

通信事業者向けローミングサービス

OCNバーチャルコネクトサービス(IPoE接続)

NTT東日本・西日本が提供するIPoEに対応した「フレッツ 光ネクスト」ならびに光コラボレーション回線を、事業者さまの独自ブランドでIPoE方式のインターネット接続サービスが提供できます。

ご検討中のお客さま

ご検討にあたり、ご不明点などはお電話もしくは、お問い合わせフォームで承ります。お気軽にお問い合わせください。

お電話によるお問い合わせ

0120-003300

受付時間:9:00~17:00
(土・日・祝日・年末年始を除く)

このページのトップへ