世界を突然襲ったランサムウェア WannaCry LanScope Cat で WannaCry を 事前に防ぐことはできるのか?
アジェンダ 1.WannaCry とは 2. 過去最大級のインシデント 3. セキュリティパッチでの対応について 4.LanScope Cat で実現する標的型攻撃対策 - 未知のマルウェアを検知する仕組み - 従来のアンチウイルス製品と検知アプローチの違い - 特長 1:LanScope Cat の高い検知率 - 特長 2:LanScope Cat なら原因特定も可能 - 特長 3:LanScope Cat でパッチ適用状況の確認と配信 5. 統合型エンドポイントマネジメント 2
WannaCry とは 2017 年 5 月 12 日 世界 150 ヵ国以上に被害をもたらしたとも言われる大規模なサイバー攻撃が行われました この攻撃では 政府機関 病院 通信会社 自動車会社などで既に被害が確認されており 世界で 20 万台以上が感染したと報道されています 海外では自動車工場が自社内のランサムウェアの拡散を防ぐために一時的に生産を停止した事例や 医療機関では安全の為に手術を取りやめるなどといった影響が出ています 攻撃には WannaCry または WannaCrypt などと呼ばれるランサムウェアが使われており 感染すると端末内部の Office データや動画 画像 など 166 種類のファイルを暗号化し 身代金 ( ランサム ) を要求します 暗号化されたファイルのファイル名には.WNCRY という文字列が付与され 暗号化が完了した後にボリュームシャドーコピーを削除するため復元が阻止されてしまいます 身代金は仮想通貨ビットコインでの支払いが要求され 最初の要求額は $300 - $600 ですが 3 日以内に支払いがなければ要求金額が倍になる脅しを用いています これまでの一般的なランサムウェアは 感染後に表示される脅迫画面のメッセージが英語でしたが 今回の WannaCry については 右記のように日本語化された画面が表示される点が特徴です これは世界の中で日本もターゲットにされているということがいえます 政府機関 病院 通信会社 自動車会社など被害が確認されている 感染すると Office ファイルなどを暗号化し 復号するためには金銭 ( 仮想通貨ビットコイン ) を要求 感染した端末は Windows の脆弱性を突いて周囲の端末へ感染を拡大 当該の脆弱性は ハッカー集団 Shadow Brokers が米国の NSA から窃取したとされるハッキングツールや攻撃コードに含まれていた脆弱性の 1 つ 3
過去最大級のインシデント 数日で 150 ヵ国 30 万台以上で感染が確認されています テレフォニカで保有 PC の 85% が感染 NHA( 国立病院 ) で 48 団体に感染 手術中止 患者受け入の混乱 内務省の PC が感染 フランクフルト駅の電光掲示板に感染メッセージ ペトロチャイナのガソリンスタンド給油機が感染 ルノー自動車工場で感染 ラインが一時 Stop 4
過去最大級のインシデント 日本でも様々な業種で感染が報告されています 鉄道会社の端末で感染 大手製造業で感染 一時メール利用不可 樹脂メーカーでXP 端末が感染 水道局 1 台で感染 鉄道会社本社 1 台で感染 個人利用端末でも複数台の感染を確認 その他スーパーのモニタやゲーム端末で感染 5
セキュリティパッチでの対応について 今回の攻撃はマイクロソフト製品の脆弱性 (MS17-010) を利用しているため 2017 年 3 月に公開されているセキュリティパッチを適用すれば感染しないと言われており 最優先でセキュリティパッチの適用を行う事が推奨されています マイクロソフト社は今回の被害の大きさ 影響度から 3 年前にサポート期限が切れている Windows XP などのサポート期限切れ OS に対してもセキュリティパッチ (KB4012598) をリリースするという異例の対応を行っています また セキュリティパッチの適用が何らかの理由で出来ない場合の対応として マイクロソフト社は SMB v1 を無効化することを案内しています 〇セキュリティパッチ情報 マイクロソフトセキュリティ情報 MS17-010 - 緊急 https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx サポート切れ OS 向けのセキュリティパッチ (KB4012598) 情報 http://www.catalog.update.microsoft.com/search.aspx?q=kb4012598 〇ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacryptcustomer-guidance/?wt.mc_id=aid528471_eml_5066212 6
LanScope Cat で実現する 標的型攻撃対策 7
LanScope Cat でできる標的型攻撃対策 LanScope Cat は 事前の対策から検知 隔離 原因追及までカバーすることができます マルウェア検知 隔離原因追求 対策パッチ管理 感染端末特定 検知 隔離 原因特定 ポリシー強化 適用 / 未適用の確認 一斉配信 AI エンジンを活用し これまでのウイルス対策ソフトや振る舞い検知 サンドボックスのように動作した後の事後対策ではなく 未知の脅威でも実行前に検知し防御することができます 検知 隔離をした場合 検知前後の操作ログから特定の Web サイトの閲覧 標的型攻撃メールの開封など 流入経路を確認することができます 原因を特定することができるので Web サイトのフィルタ強化や社員教育を行うことで再発防止に繋げることができます 定期的に社内端末の資産管理を行うことで 古い OS やパッチ未適用の端末を事前に把握することができます 管理者は 未適用の PC を抽出し 必要な更新プログラムだけを一斉に配信 適用することができます 8
未知のマルウェアを検知する仕組み AI エンジン活用して実行前に 99.7% 防御 収集と AI 学習 正常なファイルとマルウェアを 10 億以上収集し クラウド上の AI に教師データとして学習させる 特徴抽出 数値化 教師データの特徴点を抽出 (1 ファイルあたり最大 700 万の特徴点 ) 各ファイルのマルウェアらしさを数値化 数式作成 数学者やアナリストのチューニング後 膨大なノウハウを反映した数式を作成 端末上では数式のみが稼動 2016 年 1 月ドイツに拠点を置くセキュリティ製品の性能検証を行う第三者機関 AV-TEST にて評価 9
従来のアンチウイルス製品と検知アプローチの違い 今回の攻撃が世界的に大きな被害へとつながった背景には 感染経路が脆弱性を持つ端末に直接マルウェアを送り込む手法の為 社内のファイアウォールやメールフィルタリング機能を通さず攻撃が成立することが考えられます また 攻撃がスタートした 5 月 12 日の段階では ほとんどのアンチウイルス製品が WannaCry の検体を入手できておらず 一部の振る舞い検知機能などで検知できた場合を除いて攻撃が成功してしまったことが考えられます 5 月 13 日 ~14 日にかけてインターネット上で多数の WannaCry 検体が報告され これらのハッシュ値が順次ブラックリストに登録されることで現在では既知の検体の多くは検知 隔離が可能な状態になっています しかし 現時点で報告されていない検体はまだブラックリストに登録されていないため検知はできず もし第二の WannaCry となる新種のマルウェアによる攻撃が行われた場合 同じような被害が再発することは想像に難くありません 大切なことは 現時点で攻撃に使われた ( 既知の ) マルウェアを検知することができるのか ではなく 5 月 12 日時点のような攻撃を受けたとしても ( 未知の ) マルウェアが実行されることなく 自社を守ることができたのか? という点です プロテクトキャット Powered by Cylance は未知 既知のマルウェアを実行前に 99.7% 防御します WannaCry 100% 亜種に対する50% 検知率の推移実際に攻撃される期間 他 AV メーカーがパターンファイル作成及びハッシュ登録を行う期間 プロテクトキャット 従来のアンチウィルス 0% 5/12 48 時間以内 数ヶ月後 時間経過 2016 年 1 月ドイツに拠点を置くセキュリティ製品の性能検証を行う第三者機関 AV-TEST にて評価 10
特長 1:LanScope Cat の高い検知率 LanScope Cat は 1 年前のバージョンで今回の WannaCry を検知 隔離できたことが確認できています Cylance 2016/7 数理モデル Cylance は数理モデルにより保護出来ている 他社 1 年前 パッチ適応が必須で脆弱性が有る状況 時系列 2015/1 MS は脆弱性パッチ未配信 2017/3/12 MS17-010 パッチリリース 2017/5/12 WannaCry 世界同時感染 2017/5/12 AV メーカーが対策パッチを配信 5/15 UniWix 誕生 11
特長 2:LanScope Cat なら原因特定も可能 LanScope Cat はランサムウェアを検知した場合 操作ログにより 感染経路の特定を行うことができ 再発防止策を打つことができます プロテクトキャット管理画面 ランサムウェアを検知 取得する操作ログ 検知前後の操作把握 ログキャット管理画面 12
特長 3:LanScope Cat でパッチ適用状況の確認と配信 LanScope Cat は検知 隔離するだけでなく 社内に古い端末やパッチ未適用端末がないかを確認し 未適用端末にはパッチ配信を行うことができます パッチの種類ごとに確認 端末名 OS ごとに確認 未適用の人を発見! WannaCry で使われる脆弱性の対応状況を一目で確認と対策ができます 13
統合型エンドポイントマネジメント LanScope Cat は内部不正対策から外部脅威対策までをカバーし お客様の大切な環境を守ります マルウェア防御と侵入経路追跡 マルウェア実行前防御 ( 検知率 99.7%) 原因となったユーザー操作の特定 インシデント調査と脆弱性対策 インベントリ情報から影響範囲を調査 アプリ OS の脆弱性確認 対策 セキュリティ意識向上と操作制御 ログ管理による抑止効果 再発防止のためのセキュリティ対策 14
製品に関するご質問 ご要望がございましたら 下記までご連絡ください エムオーテックス株式会社 営業部 :sales@motex.co.jp 大阪本社 532-0011 大阪市淀川区西中島 5-12-12 エムオーテックス新大阪ビル 東京本部 108-0075 東京都港区港南 1-2-70 品川シーズンテラス5F 名古屋支店 460-0003 名古屋氏中区錦 1-11-11 名古屋インターシティ3F 九州営業所 812-0011 福岡市博多区博多駅前 1-15-50 NMF 博多駅前ビル2F TEL:0120-968-995 受付時間 9:30-12:00 13:00-17:30 ( 月 ~ 金 )