WannaCrypt 攻撃に対する Azure ユーザーへのガイダンス

  • Article

世界規模で発生している WannaCrypt の被害について、Azure 利用者による対処方法がまとめられた記事が公開されました。

 

本投稿は、以下の記事の抄訳となります。

 

WannaCrypt attacks: guidance for Azure customers
https://azure.microsoft.com/en-us/blog/wannacrypt-attacks-guidance-for-azure-customers/

 

また、本記事に加え、日本マイクロソフト セキュリティ チームより発信している情報についてもご確認いただく事をお奨めいたします。
セキュリティチームのブログ:ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

 

WannaCrypt 攻撃に対する Azure ユーザーへのガイダンス

投稿日 2017年5月17日

投稿者 ジェレミー・ホレット Principal Engineering Manager

 

世界規模で発生しているランサムウェア攻撃 WannaCrypt を経験し、より安全なインフラ運営の重要性が注目されています。この WannaCrypt の実被害の有無に関わらず、私どもはサイバー攻撃対策として Azure のお客様全員に次の 8 ステップの対策を取ることを推奨します。

 

  1. 最近発生した WannaCrypt マルウェアではサービスメッセージブロック (SMB) の脆弱性 (CVE-2017-0145) を悪用していることが判明しています。脆弱性対策として、お客様の Windows Server 仮想環境に速やかに MS17-010 をインストールしてください。

 

  1. Azure サブスクリプションにつきましては、インターネットに対してオープンしている SMB エンドポイントがあるもの (通常、TCP139, TCP445, UDP137,UDP138) はすべて見直しを実施してください。マイクロソフトは、お客様の基幹業務に必要なポート以外を、インターネットに向けてオープンすることを推奨いたしません。

 

  1. SMBv1 を無効化して下さい。無効化の手順はこちらに記載しています。https://aka.ms/disablesmb1

 

  1. Windows アップデートを利用し、デバイスのセキュリティ装備を常に最新版にして下さい。Azureクラウド サービス(サービス ウェブ ロールとワーカー ロール)、またはInfrastructure as a Service (IaaS) のプラットフォームを運用している場合、初期設定で自動アップデートが実施されるため、追加で実施すべき事項はございません。また、2017 年 3 月 14 日にリリースされたすべてのゲスト OS イメージには、標準で MS17-010 も含まれていますので、当該バージョンをもとに、3 月 14 日以降に作成いただいた仮想マシンは既に対策済みとなります。お客様が活用されているリソースの現状ステータスは Azure セキュリティ センターで確認することができます。

 

  1. 今回のような脅威対策として Azure セキュリティ センターを利用し継続的に使用環境のモニターを行ってください。また、Azureセキュリティ センターを利用してイベントログ、及びネットワークトラフィックの収集と監視を行い、新たなセキュリティ警告を確認、脅威を察知した際、速やかに調査をできるようにします。

 

  1. ネットワーク セキュリティ グループ (NSG) を使いネットワークへのアクセス制限を行って下さい。攻撃を回避するため、制限を設け特定のポートにのみアクセスができるようNSG 内にインバウンド ルールを設定します。また、追加セキュリティに関してはサードパーティ各社が提供するネットワーク ファイアー ウォール ソリューションを使用することもできます。Azureセキュリティセンターではお客様の Azure ネットワーク内すべてのセキュリティを見ることができ、インターネットからアクセスできるエンドポイントの特定、不十分な NSG 保護の察知、そしてケースによってはファイアーウォールによる解決策を提案します。

 

  1. マルウェア対策製品が展開、アップデートされていることを確認して下さい。もし Azure 用の Microsoft Antimalware、または Windows Defender を使用している場合、マイクロソフト社では先週、対策を施しております。これにより、Ransom:Win32/WannaCrypt の脅威を事前に検知します。もし使用しているマルウェア対策ソフトがサードパーティのセキュリティ製品である場合、提供元に問い合わせ、対策ができているかご確認下さい。また、Azureセキュリティセンターを使ってマルウェア対策や、他のセキュリティ コントロール設定について、Azure仮想マシン全てに対して適合するか確認することが可能です。

 

  1. Azure の管理者のマルチファクター認証 (電話認証) を有効化した上で、バックアップを設定して下さい。ランサムウェアによるデータ アクセス阻害から復旧するには、強力なバックアップ案があるかが重要なポイントとなります。すでに Azure バックアップを使用している場合、ランサムウェアの被害からサーバー内のデータを復旧させることができます。ただし Azure のバックアップにアクセスができるのは Azure の認証を保持しているユーザーに限られます。つきましては、Azure のバックアップを保護するにあたって、Azure マルチファクター認証の活用を推奨します。

 

影響を受けたソフトウェアの確認、脆弱性情報とセキュリティ更新プログラムの展開につきましてはこちらをご確認下さい。 Microsoft Security Bulletin MS17-010

セキュリティ情報  MS17-010 に関して詳細はこちらをご参照下さい。 Microsoft Knowledge Base Article 4013389.

サポート

お客様のクラウド セキュリティの状態の理解: Azure Security Center

Windows Update インストールのヘルプ: Windows Update FAQ

IT プロフェッショナル向けのセキュリティ ソリューション: TechNet Security Support and Trouble Shooting

ウィルス、及びマルウェアからの Windows コンピュータの保護に関するヘルプ: Microsoft Secure