この記事は、Cisco Lancope のテクニカル マーケティング エンジニアである Hanna Jabbour によるブログ「You Won’t WannaCry with Stealthwatch」 (2017/5/16)の抄訳です。
5 月 12 日の金曜日に、世界中のコンピュータ ユーザは、「WannaCry」と呼ばれる、インターネットで発見されたマルウェアによる非常に危険な新しい脅威に遭遇しました。このマルウェアは、政府機関から盗まれたと言われているマルウェアのキャッシュに端を発したもので、未知の攻撃者によって 1 年も経たない内に公開されました。
業界をリードする、シスコの Talos 脅威インテリジェンス チームが実際の環境で取得して分析した WannaCry の最初のマルウェアには、感染したホスト コンピュータにランサムウェアをインストールするためのマルウェア ペイロードが含まれています。これは TCP ポート 445 を重点的にスキャンし、パッチが適用されていない特定の Windows マシンに存在する脆弱性を利用します。WannaCry は、ワームと同様に、ネットワーク全体に拡散することが可能で、それが広範囲の感染をもたらしました。
この記事では、お客様がシスコ セキュリティ ソリューションを使用して自社のネットワークやコンピュータをこのマルウェアから保護する方法について説明します。今後数日から数ヵ月で発生する可能性のある亜種も対象です。
WannaCry の最初のマルウェアは、サーバ メッセージ ブロック(SMB)プロトコルを利用して、Microsoft Windows が稼働している、ネットワーク上のコンピュータに感染して伝播します。ネットワーク オペレータは、Cisco Stealthwatch を使用してネットワーク内の SMB アクティビティを監視することができます。
WannaCry の最初のマルウェアは、できるだけ多くのホストに感染するために、ネットワーク内部を水平方向(ホスト間)に伝播しようとします。この伝播アクションは、マルウェアがランサムウェアのペイロードをトリガーする前でも発見されることがあります。StealthWatch は、水平方向の移動、特に同じサブネットのシステム間の移動を検出できるように設計されています。
Cisco Stealthwatch は、特定のホスト コンピュータで確認されたさまざまなアクティビティに対し関連付けを行い、その数値化されたスコアに基づいて、その IP が不審かどうかを判断します。StealthWatch は、各ホスト IP アドレスごとに 1 つのインデックスでスコアを累積し、そのスコアをもとにリスク インデックスというアラームを発生させます。このリスク インデックスの数値が高いほど、そのホストが悪意のあるアクティビティに関連している確率が高いことを示します。
Cisco Stealthwatch Management Center とダッシュボードを利用することで、不審なアクティビティや感染の可能性を示したシステムを一覧表示するレポートを簡単に作成することができます。また、Cisco Identity Services Engine(ISE)を統合することで、不審なマシンを検疫し、脅威修復までの間、WannaCry がさらに拡散されないよう防止します。
WannaCry はインターネット上で混乱を招いており、今後数年間にわたり、その亜種が発生する可能性が高いと思われます。StealthWatch の広範囲におよぶ可視化機能と高度な分析機能を利用することで、WannaCry のアクティビティを早期に検出し、環境全体に拡散するのを阻止できます。
WannaCry からネットワークを保護するための詳細については、ウェビナーにご参加ください(OAuth Phishing and WannaCry Ransomware Attacks: Are You Protected?(OAuth フィッシングと WannaCry ランサムウェア攻撃:保護されていますか)5 月 18 日 1 p.m. ET/10 a.m. PT)