セキュリティマイスターコラム 第8回

意外に多いサーバの脆弱性の放置
業務への影響を恐れて「サーバにはパッチを当てない」が招くリスク

富士通では、提供しているサービスを守るCSIRT(シーサート)として「富士通クラウドCERT」を組織しています。そのPoC(Point Of Contact)とコマンダーを担当している私は、あるときお客様から、「社内の端末がランサムウェアのWannaCryに感染した。対処方法と再発防止策を至急教えてほしい」と相談を受けました。

ランサムウェアの感染発覚!すぐにやるべき対処方法は?

ランサムウェアは、PCをロックしたりデータを暗号化したりすることによりユーザーが利用出来ない状態にし、元に戻す代わりに「身代金」を要求するタイプのマルウェアです。
Wannacryが、世界的に猛威を振るったのは昨年(2017年)5月ですが、実は2018年になっても感染発生の相談を数多く受けるほど、息の長いマルウェアです。幸いなことに、6月以降は「暗号化機能」が意図的に無効化された亜種の感染のケースがほとんどです。

こうした「暗号化機能」が意図的に無効化された亜種の場合、最もシンプルな対処法は以下のとおりです。

  1. まず、「MS17-010 Windows SMB サーバ用のセキュリティ更新プログラム」を適用していなければ、適用する。
  2. 適用後、そのWindowsのサーバやPCに「c:\windows\mssecsvc.exe」や「c:\windows\tasksche.exe」が存在しないかを確認し、存在すれば削除後にOSを再起動する。
  • (注)
    確実を期するのであれば、実際に感染したmssecsvc.exeのハッシュ値を社内に導入しているアンチマルウェアベンダに連絡し、そのmssecsvc.exeを隔離可能なパターンファイルを確認した上でそのパターンファイルを含むまで最新化し、その後にフルスキャンする。

ここでポイントになるのは1と2の実施順です。逆に行うと、WannaCryを削除しても、すぐに再感染する可能性があるからです。

業務への影響を恐れて、サーバの脆弱性を放置しているケースが多い

セキュリティへの意識が高まってきた今、セキュリティパッチ未適用のPCは、それほどないはず……。では、なぜ今さらセキュリティパッチの適用を徹底する必要があるのでしょう。

確かに、クライアントPCにはセキュリティパッチ(MS17-010 Windows SMB サーバー用のセキュリティ更新プログラム)が概ね適用されています。ところが、サーバに関しては、今もなおパッチ適用されていないケースが多く見られるのです。被害に遭われたお客様に理由を尋ねると、「サーバでは重要な業務が稼働しているので、セキュリティパッチを当てて、業務に影響が出るのが怖いです」という答えが返ってきました。

サーバがマルウェアに感染したら、業務への影響どころではない大問題に

社内で「ランサムウェアWannaCry」の感染が発生すると、感染したサーバを停止しなければなりません。対処が確実に完了し、再発防止の方針が決まるまでは感染したサーバは稼働できなくなります。私が見聞きした範囲では、1か月近く業務が停止したケースもあります。

また、暗号化機能が有効な本来の「ランサムウェアWannaCry」への感染に至っては、暗号化されたファイルの復元も必要となり、2か月近くも業務が止まるケースもあります。さらにはセキュリティ事故を起こした当事者として、原因調査や社内外への報告に追われます。

今後もパッチ未適用のサーバを狙うサイバー攻撃は発生する

5年以上前のIT管理者の常識は、「セキュリティパッチを当てた結果、業務システムに影響が出ることもある。できるだけサーバにはパッチを適用しない」だったかもしれません。しかし、標的型など、セキュリティ面での脅威が増大した今、サイバー攻撃の社内への進入を完全には防げません。このような状況下では、IT管理者は、「セキュリティパッチは必ず当てる。もしその結果、業務に影響が出た場合は業務システムの改修を実施する」と頭を切り替える必要があるでしょう。
もちろん、パッチ適用前には検証用サーバでの検証が必須です。また、適用に伴うトラブルが発生した場合には、回避策の実施(パッチの一時的なアン・インストール等)も有効です。

ちなみにこの原稿執筆時点(2018年1月21日)では、インターネットで公開している「Oracle WebLogic Server」にコインマイナー(仮想通貨をマイニングするプログラム)を不正に仕込むマルウェアが業界を騒がせています。しかしこのマルウェアもまた、セキュリティパッチや適切なバージョンアップを実施していれば防止できたはずでした。

繰り返しになりますが、今後も、セキュリティパッチ未適用のサーバを狙うマルウェアは出現するでしょう。セキュリティ事故が発生すれば、直接的な対処に加え、原因調査や社内外への報告に追われることになります。パッチ適用のリスクより、パッチを適用しないリスクが確実に大きくなっているのです。

2018年3月13日

富士通株式会社
山下 眞一郎
[ハイマスター領域]シニアセキュリティコーディネーター

富士通のMSS(マネージド・セキュリティ・サービス)である「GMSS」のデリバリに加え、富士通の組織内CSIRTであるFJC-CERT(富士通クラウドCERT)の創設当初からCSIRT立上げにも参画し運営。近年は最新のサイバー・スレット・インテリジェンスをグローバル規模で集約し、高度な分析を行う「FUJITSU Advanced Artifact Analysis Laboratory」を立上げ、運用を行っている。日経ITPro等への寄稿も多数あり、警察庁の委員も担当。

[写真]

「サイバーセキュリティ」に関するお問い合わせ・ご相談

Webでのお問い合わせ

お電話でのお問い合わせ

ページの先頭へ