Critical System Protection

WannaCry の動向についての更新情報

2017 年 5 月 12 日、WannaCry（別名 WCry）というランサムウェアによる大規模なサイバー攻撃の発生が、公式にいくつも報じられました。WannaCry の標的となって被害を受けたユーザーは、世界各国に及んでいます。

WannaCry ランサムウェアに対する保護の状況

Symantec Data Center Security: Server Advanced（DCS:SA）IPS は、WannaCry ランサムウェアに対する保護機能を備えています。Symantec DCS:SA Windows 版 6.0 では 3 レベルすべてのポリシー（Basic、Hardening、Whitelisting）によって、また 5.2.9 ではすべてのポリシー（Limited Execution、Strict、Core）によって、ランサムウェアが悪質な実行可能ファイルを投下できないようになっているからです。

WannaCry について詳しくは、WannaCry 発生に関するシマンテックの特設ページを参照してください。

エンドポイント製品をお使いのお客様に対するシマンテックの保護

WannaCry の脅威から、お客様は基本的に次のいずれかの形で保護されています。

1. Windows のセキュリティ更新 MS17-010 がインストールされているコンピュータは、WannaCry に対して安全です。

2. DCS:SA には、上記のパッチをインストールしていないコンピュータで WannaCry に備える以下の保護機能があります。

• システムでマルウェアが投下される、または実行されるのを防ぐ IPS ポリシー
• インバウンド SMB トラフィックを遮断する機能
• あるいは、ターゲット型 IPD ポリシーを適用する IPS 機能をフルに使って、WannaCry マルウェアの実行を遮断

その他、保護に関する詳細

お客様のシステムで、SMB も Windows のネットワークファイル共有機能もお使いでない場合、特に外部と接するサーバーの場合は、ネットワーク攻撃の対象領域を減らすために、保護ポリシールールを設定して SMB ネットワークトラフィックを遮断することをお勧めします。カーネルとグローバルネットワークのルールを編集するだけなので、簡単です。

• Java Console で、Windows 6.0 ポリシーを編集する
• ［Advanced］ -> ［Sandboxes］の順にクリックする
• ［Kernel Driver Options］で、［Edit］をクリックする
• ［Network Controls］に移動する
• 次のインバウンドネットワークルールを追加する
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 137、［Remote IP］: 任意、［Remote Port］: 任意
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 138、［Remote IP］: 任意、［Remote Port］: 任意
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 139、［Remote IP］: 任意、［Remote Port］: 任意
  • ［Action］: Deny、［Protocol］: TCP、［Local Port］: 445、［Remote IP］: 任意、［Remote Port］: 任意
• 次のアウトバウンドネットワークルールを追加する
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 137
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 138
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 139
  • ［Action］: Deny、［Protocol］: TCP、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 445
• ポリシーエディタで、［Home］に戻る
• ［Advanced］ -> ［Global Policy Options］の順にクリックする
• ［Network Controls］に移動する
• 次のインバウンドネットワークルールを追加する
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 137、［Remote IP］: 任意、［Remote Port］: 任意、［Program Path］: *
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 138、［Remote IP］: 任意、［Remote Port］: 任意、［Program Path］: *
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 139、［Remote IP］: 任意、［Remote Port］: 任意、［Program Path］: *
  • ［Action］: Deny、［Protocol］: TCP、［Local Port］: 445、［Remote IP］: 任意、［Remote Port］: 任意、［Program Path］: *
• 次のアウトバウンドネットワークルールを追加する
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 137、［Program Path］: *
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 138、［Program Path］: *
  • ［Action］: Deny、［Protocol］: TCP と UDP の両方、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 139、［Program Path］: *
  • ［Action］: Deny、［Protocol］: TCP、［Local Port］: 任意、［Remote IP］: 任意、［Remote Port］: 445、［Program Path］: *
• ポリシーを保存する

既定で提供される保護機能に加え、実行可能なハッシュをグローバルな No-run リストに追加すると、WannaCry ランサムウェアの既知の亜種はすべて、実行されても遮断されます。ハッシュをリストに追加する手順は、次のとおりです。

• Java Console で、Windows 6.0 の Basic または Hardened ポリシーを編集する
• ［Advanced］ -> ［Global Policy Options］の順にクリックする
• ［Global Policy Lists］で、［List of processes that services should not start [global_svc_child_norun_list]］を編集する
• ［Add］ボタンをクリックして、パラメータリストのエントリを追加する
• ［Entry in parameter list］ダイアログが開く
  • ［Program Path］に「*」を入力する
  • ［File Hash］で、右側にある［...］ボタンをクリックする
  • ［File Hash Editor］ダイアログで［Add］をクリックする
    • ファイルのハッシュとして、「MD5」または「SHA256」を入力する
    • ［File Hash Editor］ダイアログで［OK］をクリックする
  • パラメータリストのウィンドウで［OK］をクリックする
• ハッシュ値ごとにパラメータリストのエントリを追加する
• ポリシーを保存する

Symantec Embedded Security: Critical System Protection を使っている場合

SES:CSP で、WannaCry の保護機能が提供されています。詳しくは、https://support.symantec.com/ja_JP/article.TECH246385.html を参照してください。

WannaCry についてシマンテックがお届けしている詳しい情報については、WannaCry ランサムウェアに関する特設ページをご覧ください。

【参考訳】