ランサムウェアWannaCryの対応について

ニュースでも報道されているように、WannaCryという名称のPC内のデータを人質にとり身代金を要求するマルウエアによる攻撃被害が世界中で発生している(日本でも被害事例あり)。
この攻撃は、1月に発見されマイクロソフトから3月にパッチ配布が始まった(MS17-010)SMBの脆弱性を利用して感染を広げていくと手法で行われる。

wannacryの感染画面(情報処理推進機構のWebページより)

対策について

対策としてWindows7/8/10/Server2008/2008R2/2012/2012R2/2016はWindows Updateを実行して最新の状態にすること、Windows Vistaは4月の月例更新を適用。
また今回は例外的にWindowsXPに対してもセキュリティ更新プログラムが公開されている。※Windows Updateカタログから『Windows XP SP3 用セキュリティ更新プログラム (KB4012598) カスタム サポート』を探してダウンロード～インストール。

■今回の修正ファイルに関しては生産ライン等でLAN経由で被害を広げないための特別提供であり、その他の脆弱性は修正されていないので、サポートが終了したXPやVistaの一般利用はできるだけ早くやめることが望ましい。


このパッチを導入することで感染を防ぐのではなく、ネットワーク経由での攻撃を防ぐ(UAC=ソフトインストール時に管理者権限を要求する表示が出る)というもの。許可してしまえば感染するのは同じなので注意。

また、ウイルス対策ソフトを導入している場合は定義ファイルを最新の情報に更新。

※常識ではあるが、PC購入時に入っているソフトは体験版であり、初回起動後から2週間～3ヶ月で保護されなくなるので注意。

また、PCをルーター経由で接続している場合、SMB経由での侵入については網内のPCが感染しない限り被害を受ける可能性は大幅に緩和される(感染しないというわけではない)。※ルーター経由の接続が一般的な日本では被害が少なかったと思われる。

今回は被害が大規模に出たため大きく報道されているが、実際には0-day攻撃ではなく既存の脆弱性をついた攻撃のため、通常のマルウエア対策を行っていればさほど心配はいらない。

関連報道
・世界74カ国でランサムウェア攻撃、病院や銀行などに被害　(CNET、5/13)
・世界99カ国で大規模サイバー攻撃、ルノーは生産停止　(ロイター、5/14)

参考資料
・世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について　(IPA、5/14)
・ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス　(Microsoft、5/14)
・ランサムウエア "WannaCrypt" に関する注意喚起　(JPCERT/CC、5/14)

MSマルウエア検索エンジンに重大な脆弱性、パッチ公開

マイクロソフトは日本時間9日にWindows10/8.1/8に組み込まれているWindows DefenderおよびWindows7用Security Essencials用などに利用されているマルウエア用エンジン、MsMpEngに重大な脆弱性があり、修正プログラムの公開を行った。


この脆弱性を悪用されると、メール等を見たりファイルを開いたりしなくても、URLをクリックさせるだけで任意のプログラムを実行可能となる。

Microsoft セキュリティ TechCenter:
Microsoft Malware Protection Engine 用のセキュリティ更新プログラム
https://technet.microsoft.com/ja-jp/library/security/4022344.aspx

マイクロソフトのアナウンスによると、1.1.13701.0以前のバージョンに脆弱性があるとのことで、通常は自動的に更新されるが念のために以下を参考に自身のエンジンのバージョンを確認しておくのがいいだろう。

MsMpEngバージョンの確認方法
Windows10の場合、[設定]→[更新とセキュリティ]→[Windows Defender]、この中にエンジンのバージョンが表示されている(下図参照)。

Windows8の場合、スタート画面上で右クリック、[すべてのアプリ]→[Windows Defender]、、Windows Defenderが起動したら[ヘルプ]→[バージョン情報]で確認。
※Windows7のSecurity Essencialsも操作はWin8版と基本的に同じ。


参考
Microsoft 文書番号:2510781:
Microsoft Malware Protection Engine の展開に関する情報
https://support.microsoft.com/ja-jp/help/2510781/microsoft-malware-protection-engine-deployment-information

Android 5月のセキュリティ更新提供開始

Nexus/Pixcel向けAndroid2017年5月の定期アップデートの配布が開始されました。
例によって5/1,5/5の2段階でアナウンスされています。

今月のアップデートではメディアサーバーの脆弱性、BroadcomWi-Fiファームウエアの脆弱性など緊急29件、危険度高67件、危険度中21件、危険度低1件の脆弱性が修正が提供されています。
※今回の修正の中には機種固有の脆弱性も含まれています(例:Nexus6モトローラ製ブートローダーの脆弱性等)

ビルド番号はAndroid7.1.2および7.1.1でNHG47L,N2G47O/R,N4F27B,N6F27Cが最新のビルド番号となります。


Android Security Bulletin (May 2017)
https://source.android.com/security/bulletin/2017-05-01
※4月から表示方法が変わり、脆弱性の項目ごとに表示されるようになり、またどの端末が対象となるかも掲示されるようになりました。

OTAファイルのリンクが判明次第、この記事を随時アップデートします。
◆各OTAファイルへのリンク(2017/5/2更新)
※Nexus6はグローバル版のリンクです

OTA Images for Nexus Devices
https://developers.google.com/android/nexus/ota

●機種別リンク
・Pixel 7.1.2(NHG47L)：Link
・Pixel XL 7.1.2(NHG47L)：Link
・Nexus5X 7.1.2(N2G47O)：Link
・Nexus6 7.1.1(N6F27C)：Link
・Nexus6P 7.1.2(N2G47O)：Link
・Nexus9(Wi-Fi) 7.1.1(N4F27B)：Link
・Nexus9(LTE) 7.1.1(N4F27B)：Link
・Nexus Player 7.1.2(N2G47R)：Link


OTA(差分)ファイルを利用したアップデートの場合、SDKツールのadbコマンドを利用して手動更新すれば現在の設定を保持したままアップデートできます。
※設定→端末情報→システムアップデートで更新する方法と同じ。
※adbコマンドの利用方法はこちらを参考にしてください。

それが待てないという方は、先行して公開されたファクトリーイメージからインストールしてください。
※本体は初期化されますので、設定が面倒という場合にはOTAアップデートをお待ち下さい。
※アーカイブのバッチファイルを加工(fastboot -wの部分の-wを削除することでユーザーデータは保持したまま更新されます)することにより、そのまま更新されます。ただし、ブートローダーのアンロック必須です。

Factory Images for Nexus Devices
https://developers.google.com/android/nexus/images

Google Androidのパッチ提供期限をヘルプに明記

Googleのヘルプがアップデートされて、これまで端末のサポート期限しか掲示されていなかったのだが、Androidのパッチ提供期限まで掲載された。







これによると、Nexus端末はNexus6,9は2017年10月まで、Nexus5X,6Pが2018年9月までとなっている。これにより、AndroidのNexus6,9はAndorid7まで、Nexus5X,6Pは次バージョンの『Andorid O』まで提供、また、Pixel,XLは2019年10月なので、『Android P』までサポート(予定)となる。


Googleヘルプ
Android のバージョンを確認して更新する
→Android ソフトウェア アップデートが提供されるタイミング
https://support.google.com/nexus/answer/4457705?hl=ja

スラド
Google、Nexus/Pixel端末のセキュリティパッチ提供保証期限をヘルプページに明記
https://security.srad.jp/story/17/04/30/050226/