PCとオンラインゲームに振り回される日々

ランサムウェア WannaCryの攻撃 修正パッチだけでは防げない?

最終更新日

キルスイッチ発見と有志による対処が、WannaCryの被害を抑止。

WannaCry:情報まとめ - カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594

WannaCryは感染時に、特定のドメインにアクセスしようとします。アクセスに成功すれば攻撃を中止、アクセスに失敗すれば攻撃を継続します。この仕組み(キルスイッチ)の発見者らが、キルスイッチを機能させるために必要なドメインの登録と応答設定をしてくれたため、被害が抑えられました。

ただし、プロキシを利用している環境ではキルスイッチは機能しません。

キルスイッチのない亜種も見つかっています。攻撃には使用されていなかったとのことですが、今後、攻撃に使われる可能性もあります。

2017年5月 ランサムウェアによる被害が拡大中

最終更新日

XP等にも、更新プログラムが配布されるほどの事態に。

5月に入ってから、ランサムウェアの被害が急増しています。

大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/14873

週明け国内でも要注意-暗号化型ランサムウェア「WannaCry/Wcry」
http://blog.trendmicro.co.jp/archives/14884

今回問題になっているランサムウェアの呼び名は、Wanna DecryptorWannaCryWanaCrypt0r 2.0 等。

SMB v1(Microsoft Server Message Block 1.0)プロトコルの脆弱性を利用しています。(SMBはファイル共有サーバーとの通信に使われています)

この脆弱性は、今年3月のWindows Updateで修正済みです。

マイクロソフト セキュリティ情報 MS17-010 - 緊急
Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)
公開日: 2017 年 3 月 15 日
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx

なのになぜ、こんなに被害が広がっているのでしょうか。

主に被害に遭っているのは、Windows XP マシン等のようです。(訂正 修正パッチを当てていなかったWindows7等も感染しています)

サポートが終了してしまった古いWindowsバージョンには、更新プログラムが配布されていません。でも今回は特別に、旧Windowsにも更新プログラムが公開されました。

以下のWindowsバージョンについては、2017年03月のWindows Updateを適用してあれば修正済みです。

  • Windows Vista
  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows Server 2008以降

ただし、すでに今回のランサムウェアの亜種が見つかっています。SMB v1を無効にしておくといいでしょう。SMB v1を無効にする方法は、下のURLを参照してください。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス - 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance

IE11 トップサイトとマイフィードの表示・非表示

トップサイトとマイフィードが表示されるようになった。

2017年5月のWindows Updateにより、Internet Explorer 11で新しいタブの表示が変わっていました。

トップサイトの所には、facebookやtwitter等のサイトへのリンク。マイフィードの部分にはニュースや天気予報等が表示されます。(無限スクロール)

このトップサイト・マイフィード画面は、新しいタブだけでなく、ホームページに設定することも可能になっています。

IE11 トップサイト・マイフィード画面

(画像は、Windows 10 Build 10586のIE11)

表示内容の変更は、トップサイトの右端のカスタマイズアイコン(歯車)から。

トップサイト・マイフィード画面のカスタマイズアイコン

トップサイト・マイフィードのカスタマイズ画面

クッキーが無効の状態では、「保存する」をクリックしても反映されませんでした。IEのファーストパーティのクッキーが有効の時のみ、ここの設定が保存されます。クッキーを削除すると設定が消えます。

ただし、このカスタマイズ画面では、マイフィードを非表示することはできますが、トップサイトを非表示にすることができません。

トップサイト・マイフィードの無い、従来の表示に戻したい場合は、インターネットオプションから設定を変更します。

累積的な更新プログラムのインストール失敗 エラー 0x8007002

最終更新日

一般的なアップデートエラー対策が全く効かなかった。

Windows 10 Version 1511用の2017年3月の累積的な更新プログラム KB4013198

Windows更新プログラムを構成できませんでした 変更を元にもどしています

で、どうしてもインストールできませんでした。(エラーコード 0x80070002)

以前の記事(Windows10 Windows Updateに何度も失敗する。)に書いたことは、ほぼ全部(Windowsの初期化以外)やってみたけれど効果がなく、結局あきらめました。

4月の累積的な更新プログラムが来るまで、ひと月待つことにしました。(脆弱性が気がかりでしたが) 4月のもダメなら、クリーンインストールするつもりで。

そして、4月の累積的な更新プログラム KB4015219のインストールも1回目は失敗。3月分を適用していないため、4月のをインストールしようとすれば、3月分も同時にインストールされることになります。エラーも引き継がれる可能性があったわけですね。甘かった。

対策を講じてから、再度インストールしてみたら成功しました。

Flash Player updateで設定ファイルの内容が変わった。

アップデート時に、mms.cfgの内容が添削される?

mms.cfgは、Flash Playerの設定ファイルです。

少しでもセキュリティリスクを減らしたくて、mms.cfgに10行ほど書き加えています。

ところが、昨年の中頃からだったか、Flash Playerをアップデートした時に、mms.cfgの内容の一部が削除されるようになりました。(NPAPIのみ確認、他は不明)

具体的にはこの記述。

DisableNetworkAndFilesystemInHostApp="xxx"
EnforceLocalSecurityInActiveXHostApp="xxx"

(xxxには、Flash Playerを使うアプリケーション名を入れます)

全部が削除されるわけではありません。" "内のアプリ名によって削除されるものとされないものがあります。ダメ出しされているんでしょうか? その消された項目を書いておいても、動作上不都合はないのですが。

mms.cfgをカスタマイズしている方は、今一度、内容を確認してみてはいかがでしょう。