ぺんぎん発信

ぺんぎん学校ICT教育発信

先生向けの教育システム関連ブログです。 セキュリティ、校務支援システム、授業支援システム、ネットワークなどなど学校で「使える」情報をお伝えします。

学校でできるランサムウェア「WannaCryptor」についての対策【学校・校内LAN・小中学校・教育委員会・特別支援学校】

テレビニュースや色々な主要メディア等で報道されていますが、暗号化型ランサムウェア「WannaCryptor」はイギリスを始めとする複数の国の医療機関や企業でサイバー攻撃が確認されています。全世界で大規模感染中です。。。

 

日本国内でもルータを通していないキオスク端末などをはじめとして被害報告があがってきています。

 

学校でもメールやインターネットに繋がっているパソコンは感染の可能性がありますのでご注意下さい。

 

https://www.amazon.co.jp/dp/4817843810/ref=sr_1_7?ie=UTF8&qid=1497877003&sr=8-7&keywords=%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2

 

これで万全! 自治体情報セキュリティ~攻めるなら守ってみせよう情報資産~

これで万全! 自治体情報セキュリティ~攻めるなら守ってみせよう情報資産~

 

  

www.ipa.go.jp

 

 

ランサムウェアとは

 

ランサムウェアとはコンピュータウイルスの一種で、感染したコンピュータをロックしたり、勝手にファイルを暗号化したりすることによって使用不能になります。

 

そして元に戻すことと引き換えに「身代金」を要求する不正プログラムです。

 

身代金要求型不正プログラムとも呼ばれます。2014年ごろからから日本語版のランサムウェアが増加し、以降被害が増加しています。

 

今回のランサムウェア名

 

2017年5月に出現しました。(泣きたくなる)という造語のようです。

世界中で猛威をふるう新種のウイルスですが、感染後にクライアントPC内のファイルを勝手に暗号化し、復号する為にはビットコインで支払を要求するランサムウェアです。

 

  • WannaCryptor
  • WannaCry/WCRY
  • WannaCrypt
  • WannaCry など「166種類」あると言われている

 

 

感染経路

 

現在判明している感染経路

 

1. ファイルサーバ(ポート番号445)に社外からアクセス可能なように公開され
Windowsの脆弱性(SMB脆弱MS17-010)がクライアントPCにある状態で攻撃を受け、バックドアを設置された時

 


2. メールなどに添付されたマルウェアをクライアントPCで実行した時

 

感染したらどうなるの?感染例

 

パソコンのデータが全て悪意的に暗号化され開くことが出来なくなります。

復元を条件にビットコインで金銭の支払いを要求しますが、実際に元に戻る保証はありません。

 

その後、Microsoft(マイクロソフト)のSMBの脆弱性(Windows SMB のリモートでコードが実行される脆弱性)を利用して、内部ネットワークに拡散を図ります。

 

  • 感染したパソコンの操作ができなくなる。
  • 感染したパソコン内のファイル(wordやexcelなど)が暗号化され開くことができなくなる。(ウイルス駆除を行ってもファイルは戻らない)
  • 要求された「身代金(金銭)」を間違って支払うことによる金銭被害

 

感染した場合に画面上に表示される例

f:id:swpxd690:20170516095108j:plain

 

対応策と注意点

 

学校のパソコンでマルウェアに感染しないために、以下注意して下さい。

 

・心当たりのない怪しいメール、怪しいWEBサイトにアクセスしない

・利用しているウイルス対策ソフトを手動で最新の修正プログラムを適用させる

・データのバックアップを取っておく(感染した場合の対策)

・Windows10のパソコンに入れ替える

・最新のセキュリティパッチを適用する 

 

 

WindowsXP Windows8 Windows2003Serverのパッチもマイクロソフトより特別に提供されています

マイクロソフト セキュリティ情報 MS17-010 - 緊急

 

 

感染した場合は

 

・無線LANを切る、LANケーブルを抜く
(他のパソコンへ感染を防ぐため)

 

・ウイルス対策ソフトで除去する。もしくは、パソコンを初期化する
(ウイルスを完全に削除する為、データはあきらめる)

 

・学校のセキュリティを管理している業者に連絡する
(みやみに操作することで、状況が悪化することを防ぐために)

 

・身代金(お金)は絶対に払わない(払っても治してくれるとは限らない)

 

検出例

 

ESET Win32/Filecoder.WannaCryptor.D

 

Windows環境での「WannaCryptor」に関するESET社による対応状況について | ESETサポート情報 | 法人向けサーバー ・ クライアント用製品 | キヤノンITソリューションズ

 

 

ウイルスバスター WannaCry/WCRY

 

blog.trendmicro.co.jp

トレンドマイクロ製品では「WannaCry」を検知・ブロックするルールを多数提供しておりますので、調査の一環として検知ログを確認頂くことを推奨いたします。

 

※今後、現在確認されているウイルスの亜種が発生する可能性があります。

ウイルス定義データベースは常に最新のものをご利用ください。

 

 

microsoft(マイクロソフト)セキュリティ情報

 

対策として更新プログラム(MS17-010)の適用を進めています。

また、すでにマイクロソフトのサポート期間が終了している Windows XP、Windows 8 、Windows 2003 Serverについても特別にセキュリティ更新プログラムを公開しています。

 

blogs.technet.microsoft.com

 

マイクロソフト セキュリティ情報 MS17-010 - 緊急

 

技術的な回避策

 

 

まとめ

 

もし見知らぬメールが届いても、添付ファイルやURLは絶対に開かないでください。

 

現時点では、Windows10には効かないランサムウェアのようですので可能であれば新しいOSに入れ替えも検討しましょう。

 

ルータがない環境で、パソコンをインターネットにつなげている場合は感染リスクがとても高いので気をつけましょう。

 

大切なことは、重要なファイルは定期的にUSBメモリやポータブルハードディスク、クラウドサービスなどにバックアップを取ることを心掛けましょう。

 

 

www.penginedu.com