IDコラム

当社の『iD-CLOUD』はお客様の課題解決に
真正面から取り組みます。

トップページ > コラム >  【エバンジェリスト・ボイス】ラ...

IDコラムとは

【エバンジェリスト・ボイス】ランサムウェア「WannaCry」亜種とUEFI セキュアブート 2017/07/27 (木)

サイバー・セキュリティ・ソリューション(CSS)部
ソリューション技術グループ
Cyber Security Intelligenceチーム
セキュリティディレクター/エバンジェリスト 関原 弘樹

こんにちは!
暑い日が続きますが、いかがお過ごしでしょうか。
サイバー・セキュリティ・ソリューション(CSS)部に所属する
セキュリティディレクター/エバンジェリストの関原です。
今回は6月末より大流行しているランサムウェア「WannaCry」の
亜種と、その攻撃手法に対する対応策について考えてみました。

 「WannaCry」の亜種であり、6月末より海外で猛威を振るって
いるランサムウェア「GoldenEye(Petya亜種)(※1)」ですが、
「WannaCry」との違いは何でしょうか。
大きな違いは、ファイルを暗号化するだけでなく、PCの「MBR(※2)」
を改ざんしてブートシーケンスを変更し、「MFT(※3)」を暗号化
することで、再起動後のPC自体を完全に使用できなくなるすると
いうところにあります。

 ■感染が拡大中のランサムウェアの対策について
    外部リンク:独立行政法人情報処理推進機構

 ※1 鍵管理をしておらず復号の手段が用意されていないこと
   からランサムウェアではなく、データの破壊が主目的
   とも言われているようです。
 ※2 PCのOSをブートするためのデータが入ったエリア。改ざん
   されるとどのようにデータを読み込んでOSをブートすれば
   いいかわからないため、ブート不能となったり本来とは
   異なるコードからシステムをブートしてしまう。
 ※3 Windows NT系のOSで使用されるファイルシステムNTFSに
   おいて、ファイルシステム上に存在するすべてのファイルの
   エントリを管理するためのファイル。破壊されるとファイ
   ルシステムがファイルデータの位置を把握できなくなるた
   め、OS上からファイルを読み出せない状態になる。


 さて、以上より「MBR」というものは非常に重要だということが
お分かりいただけたかと思いますが、この「MBR」の改ざん・破壊
というのは今に始まったことではありません。30年ほど前に出た
古いウイルスでも、同じようなコンセプトを持っています。

 ■Brain
   外部リンク:マイナビニュース

でも、なんかのどかですね…


 当然OSベンダもその重要性は十分認識しています。ここ数年の、
ある程度新しいハードウェアとOSであればこのような機能を使用
できます。それが「UEFI セキュアブート」です。

 ■セキュアブート
   外部リンク:通信用語の基礎知識

 UEFI セキュアブートの詳細はリンク先を読んでいただくとして、
この機能が使用できる場合は有効にしておけば「MBR」への攻撃を
検知できるので、今後現われるであろう同様のコンセプトを持つ
マルウェア感染による被害を最小限にする(※4)ことはできるので
はないでしょうか。
あとはバックアップからリカバリと組み合わせてインシデント
回復を迅速に行えれば言うことないですね。

 ※4 今はその下のレイヤ(Firmware)への攻撃も現実的に
   なっているので、被害を完全に防げると言い切れない
   のが残念です・・・

このようなPCの適切な設定の選択やリカバリ手順の検証は、自社
内のリソースだけではなかなか難しいものがあります。外部の
専門ベンダの知見を借りるのも一つの方法といえますね。


ではまた、次回のエントリーでお会いしましょう。

Hiroki Sekihara CISSP CEH CCIE #14607

お問い合わせ