PowerPoint プレゼンテーション

世界を突然襲ったランサムウェア「WannaCry」

LanScope CatでWannaCryを

事前に防ぐことはできるのか？

アジェンダ

１．WannaCryとは

２．過去最大級のインシデント

３．セキュリティパッチでの対応について

４．LanScope Catで実現する標的型攻撃対策

- 未知のマルウェアを検知する仕組み

- 従来のアンチウイルス製品と検知アプローチの違い

- 特長１：LanScope Catの高い検知率

- 特長２：LanScope Catなら原因特定も可能

- 特長３：LanScope Catでパッチ適用状況の確認と配信

５．統合型エンドポイントマネジメント

WannaCryとは

•

政府機関、病院、通信会社、自動車会社など被害が確認されている。

•

感染するとOfficeファイルなどを暗号化し、復号するためには金銭（仮想通貨ビットコイン）を要求

•

感染した端末は、Windowsの脆弱性を突いて周囲の端末へ感染を拡大

•

当該の脆弱性は、ハッカー集団 Shadow Brokers が米国のNSAから窃取したとされるハッキングツール や

攻撃コードに含まれていた脆弱性の1つ

2017年5月12日、世界150ヵ国以上に被害をもたらしたとも言われる大規模なサイバー攻撃が行われました。 この攻撃では、政府機関、病院、通信会社、自動車会社などで既に被害が確認されており、世界で20万台以上が感染したと 報道されています。 海外では自動車工場が自社内のランサムウェアの拡散を防ぐために一時的に生産を停止した事例や、医療機関では安全の為 に手術を取りやめるなどといった影響が出ています。 攻撃には、WannaCryまたはWannaCryptなどと呼ばれ るランサムウェアが使われており、感染すると端末内部 のOfficeデータや動画、画像、など166種類のファイル を暗号化し、身代金（ランサム）を要求します。 暗号化されたファイルのファイル名には「.WNCRY」と いう文字列が付与され、暗号化が完了した後にボリュー ムシャドーコピーを削除するため復元が阻止されてしま います。 身代金は仮想通貨ビットコインでの支払いが要求され、 最初の要求額は$300 - $600ですが、3日以内に支払い がなければ要求金額が倍になる脅しを用いています。 これまでの一般的なランサムウェアは、感染後に表示さ れる脅迫画面のメッセージが英語でしたが、今回の WannaCryについては、右記のように日本語化された画 面が表示される点が特徴です。これは世界の中で日本も ターゲットにされているということがいえます。

数日で

150ヵ国

、

30万台

以上で感染が確認されています

NHA（国立病院）で48団体に感染。手術中止、患者受け入の混乱

テレフォニカで保有PCの85％が感染

内務省のPCが感染

フランクフルト駅の電光掲示板に感染メッセージ

ペトロチャイナのガソリンスタンド給油機が感染

ルノー自動車工場で感染。ラインが一時Stop

過去最大級のインシデント

・鉄道会社の端末で感染

・大手製造業で感染、一時メール利用不可

・樹脂メーカーでXP端末が感染

・水道局 １台で感染

・鉄道会社 本社１台で感染

・個人利用端末でも複数台の感染を確認

・その他 スーパーのモニタやゲーム端末で感染

日本でも様々な業種で感染が報告されています

過去最大級のインシデント

セキュリティパッチでの対応について

今回の攻撃はマイクロソフト製品の脆弱性（MS17-010）を利用しているため、2017年3月に公開されて

いるセキュリティパッチを適用すれば感染しないと言われており、最優先でセキュリティパッチの適用を

行う事が推奨されています。

マイクロソフト社は今回の被害の大きさ、影響度から3年前にサポート期限が切れているWindows XPなど

のサポート期限切れOSに対してもセキュリティパッチ（KB4012598）をリリースするという異例の対応

を行っています。

また、セキュリティパッチの適用が何らかの理由で出来ない場合の対応として、マイクロソフト社は

「SMB v1」を無効化することを案内しています。

〇セキュリティパッチ情報

・マイクロソフト セキュリティ情報 MS17-010 - 緊急

https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

・サポート切れOS向けのセキュリティパッチ(KB4012598)情報

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

〇ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/?wt.mc_id=AID528471_EML_5066212

LanScope Catで実現する

標的型攻撃対策

LanScope Catでできる標的型攻撃対策

LanScope Catは、事前の対策から検知・隔離、

原因追及までカバーすることができます。

マルウェア検知・隔離

原因追求・対策

パッチ管理

感染端末特定・検知・隔離 原因特定・ポリシー強化

◎

×

適用/未適用の確認・一斉配信 AIエンジンを活用し、これまでの ウイルス対策ソフトや振る舞い検 知、サンドボックスのように動作 した後の事後対策ではなく、未知 の脅威でも実行前に検知し防御す ることができます。 検知・隔離をした場合、検知前後 の操作ログから特定のWebサイト の閲覧・標的型攻撃メールの開封 など、流入経路を確認することが できます。 原因を特定することができるので、 Webサイトのフィルタ強化や社員 教育を行うことで再発防止に繋げ ることができます。 定期的に社内端末の資産管理を行 うことで、古いOSやパッチ未適用 の端末を事前に把握することがで きます。 管理者は、未適用のPCを抽出し、 必要な更新プログラムだけを一斉 に配信・適用することができます。

AI

エンジン

活用して実行前に

99.7％

※

防御

数式作成

数学者やアナリストのチューニング 後、膨大なノウハウを反映した数式 を作成。端末上では数式のみが稼動

収集とAI学習

正常なファイルとマルウェアを 10億以上収集し、クラウド上の AIに教師データとして学習させる

特徴抽出・数値化

教師データの特徴点を抽出（1ファイ ルあたり最大700万の特徴点）、各 ファイルのマルウェアらしさを数値化

未知のマルウェアを検知する仕組み

W anna Cr y 亜種に対する検知率の推移 100% 50%

時間経過

48時間以内 プロテクトキャット 従来のアンチウィルス 0% 数ヶ月後 実際に 攻撃される 期間 他AVメーカーが パターンファイル 作成及び ハッシュ登録を 行う期間

従来のアンチウイルス製品と検知アプローチの違い

今回の攻撃が世界的に大きな被害へとつながった背景には、感染経路が脆弱性を持つ端末に直接マルウェアを送り込む手法 の為、社内のファイアウォールやメールフィルタリング機能を通さず攻撃が成立することが考えられます。 また、攻撃がスタートした5月12日の段階では、ほとんどのアンチウイルス製品がWannaCryの検体を入手できておらず、 一部の振る舞い検知機能などで検知できた場合を除いて攻撃が成功してしまったことが考えられます。 5月13日～14日にかけてインターネット上で多数のWannaCry検体が報告され、これらのハッシュ値が順次ブラックリスト に登録されることで現在では既知の検体の多くは検知・隔離が可能な状態になっています。 しかし、現時点で報告されていない検体はまだブラックリストに登録されていないため検知はできず、もし第二の WannaCryとなる新種のマルウェアによる攻撃が行われた場合、同じような被害が再発することは想像に難くありません。

大切なことは、現時点で攻撃に使われた（既知の）マルウェアを検知することができるのか、ではなく

『5月12日時点のような攻撃を受けたとしても、（未知の）マルウェアが実行されることなく、自社を守

ることができたのか？』という点です。

プロテクトキャット Powered by Cylanceは未知・既知のマルウェアを実行前に99.7％

※

防御します。

5/12

1

年

前

2017/5/12 AVメーカーが 対策パッチを 配信 2017/5/12 WannaCry 世界同時感染

Cylance

LanScope Catは

1年前のバージョン

で今回のWannaCryを

検知・隔離できたことが確認できています。

他社

2017/3/12 MS17-010 パッチリリース

時系列

MSは脆弱性2015/1 パッチ未配信 パッチ適応が必須で脆弱性が有る状況

特長１：LanScope Catの高い検知率

Cylance は数理モデルにより保護出来ている

2016/7

数理モデル

5/15 UniWix 誕生

特長２：LanScope Catなら原因特定も可能

ランサムウェ

アを検知

検知前後の

操作把握

※プロテクトキャット管理画面 ※取得する操作ログ

LanScope Catはランサムウェアを検知した場合、操作ログにより

感染経路の特定

を行うことができ、再発防止策を打つことができます。

特長３：LanScope Catでパッチ適用状況の確認と配信

パッチの種類

ごとに確認

端末名

OSごとに

確認

未適用の

人を発見！

WannaCryで使われる脆弱性の対応状況を一目で確認と対策ができます。

LanScope Catは検知・隔離するだけでなく、社内に古い端末やパッチ未適用

端末がないかを確認し、未適用端末にはパッチ配信を行うことができます。

LanScope Catは

内部不正

対策から

外部脅威

対策

までをカバーし、お客様の大切な環境を守ります。

マルウェア防御と侵入経路追跡

・マルウェア実行前防御（検知率99.7%）

・原因となったユーザー操作の特定

インシデント調査と脆弱性対策

・インベントリ情報から影響範囲を調査

・アプリ・OSの脆弱性確認・対策

セキュリティ意識向上と操作制御

・ログ管理による抑止効果

・再発防止のためのセキュリティ対策

統合型エンドポイントマネジメント

製品に関するご質問・ご要望がございましたら、下記までご連絡ください。

エムオーテックス株式会社 営業部：[email protected]

【大 阪 本 社】〒532-0011 大阪市淀川区西中島5-12-12 エムオーテックス新大阪ビル 【東 京 本 部】〒108-0075 東京都港区港南1-2-70 品川シーズンテラス5F 【名古屋支店】〒460-0003 名古屋氏中区錦1-11-11 名古屋インターシティ3F 【九州営業所】〒812-0011 福岡市博多区博多駅前1-15-50 NMF博多駅前ビル2F

TEL：0120-968-995

【受付時間】9:30-12:00、13:00-17:30 （月～金）