ランサムウェア Wanna Cryptorへの対応について
2017年5月16日 初版
2017年5月31日 改訂
株式会社 日立ソリューションズ
Juniper Networks製品ユーザサポート
お客様各位
拝啓 貴社益々ご清栄のこととお慶び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。
Microsoft社製品に関する脆弱性の修正プログラム MS17-010 非適用の環境において、
この脆弱性が悪用され、ランサムウェアの感染による深刻な業務影響が報告されています。
SRXシリーズのIDP機能、またはSSG/ISGシリーズのDI機能にて本脆弱性に対応したシグネチャを適用して頂くことで、
本脆弱性の悪用による感染を防ぐことが可能となりますので、導入をご検討下さい。
敬具
1. 問題の概要
Microsoft Windows 製品のSMBv1 サーバーの脆弱性により、
リモートから任意のコードが実行可能な脆弱性の修正プログラム MS17-010 非適用の環境において、
この脆弱性が悪用され、ランサムウェアの感染による深刻な業務影響が報告されています。
なお、今回観測されているランサムウェアはWanna Cryptorと呼ばれるマルウェア(WannaCrypt, WannaCry, WannaCryptor, Wcry 等とも呼ばれる) の亜種であると考えられています。
※ランサムウェアに感染するとコンピュータのファイルが暗号化され、コンピュータが使用できない被害が発生する可能性があります。
2. 対処方法
IDP機能を利用したSRXシリーズまたはDI機能を利用したSSG/ISGシリーズにて対象のシグネチャを導入し検疫に利用する事で、
SRX/SSG/ISG配下の装置に対する上記脆弱性を悪用した攻撃を防ぐことが可能となります。
[MS17-010に対応するシグネチャ (predefined-attacks)]
| シグネチャ名 | Recommended | Severity | Category | Recommended Action |
|---|---|---|---|---|
| SMB:CVE-2017-0145-RCE | Yes | Major | SMB | Drop |
| SMB:CVE-2017-0146-OOB | Yes | Major | SMB | Drop |
| SMB:CVE-2017-0147-ID | Yes | Minor | SMB | Drop |
| SMB:CVE-2017-0148-RCE | Yes | Major | SMB | Drop |
| SMB:ERROR:MAL-MSG | Yes | Major | SMB | Drop |
参考:What IDP Signatures should I use to mitigate the Wannacry attack?
https://kb.juniper.net/KB31786
(※注意)
KB31786に記載の「SMB:SMBV1-REQ」シグネチャは、SMBv1による接続をブロックします。SMBv1をご使用の環境では、本シグネチャを適用することにより
SMBv1通信が不可となりますので、適用時は十分にご注意ください。
<SRXシリーズ>
SRXシリーズ向け上記シグネチャは【Signature Update #2837 (2017/03/14 UTC)】で更新されています。
本シグネチャを有効にする為には、例えば下記のような方法があります。
・IDPポリシに、上記シグネチャを全て追加する。
・IDPポリシに、"[Recommended]Major - SMB"、"[Recommended]Minor - SMB" 等、上記シグネチャが含まれるグループを追加する。
・IDPポリシに、"Recommended Attacks"を追加する。
【参考】上記シグネチャが含まれるグループ (predefined-attack-groups)
該当シグネチャを個別に適用する代わりに、下記いずれかのグループを適用することでも対応可能です。
・"[Recommended]Major - SMB" および "[Recommended]Minor - SMB"
・"[Recommended]SMB - Major" および "[Recommended]SMB - Minor"
・"[Recommended]SMB - All" ※SMB:SMBV1-REQが含まれます。
・"[Recommended]SMB" ※SMB:SMBV1-REQが含まれます。
・"Recommended Attacks" ※SMB:SMBV1-REQが含まれます。
・"Major - SMB" および "Minor - SMB"
・"SMB - Major" および "SMB - Minor"
・"SMB - All" ※SMB:SMBV1-REQが含まれます。
・"SMB" ※SMB:SMBV1-REQが含まれます。
・"All Attacks" ※SMB:SMBV1-REQが含まれます。
※お客様の環境に合わせ設定してください。
<SSG/ISGシリーズ>
SSG/ISGシリーズ向け上記シグネチャは【Signature Update #2894 (2017/05/16 UTC)】で更新されています。
※Signature Pack「Base」または「Server」のみに含まれます。
本シグネチャを有効にする為には、例えば下記のような方法があります。
・ポリシのDIオプションに、上記シグネチャが含まれる下記グループを適用する。
"MEDIUM:SMB:SIGS"
"HIGH:SMB:SIGS"
"HIGH:SMB:ANOM"
なお、SRX/SSG/ISGシリーズのアンチウィルス(Kaspersky/Sophos)機能では、現在配信されているパターンファイルにて、Wanna Cryptorのマルウェアファイル検知が可能です。
最新のパターンファイルへの更新をご検討ください。
以上
