【ウイルス】 約100か国で大規模なサイバー攻撃、ランサムウェアの被害が約7万5000件 [Update 1: Win7/8.1/10でSMB1自体を無効化する方法を記載]
(Source:日産英工場にも被害…サイバー攻撃100か国に)
『ランサム(身代金)ウェア』と呼ばれるウイルスによる大規模なサイバー攻撃が12日、世界へと広がった。英BBCなどは、英米露など約100か国・地域で約7万5000件の被害が出たと伝え、日産自動車の英工場にも影響が及んだ。オランダ・ハーグの欧州警察機構(ユーロポール)は13日、 「攻撃は前例を見ない水準だ」 とする声明を発表し、国際協力を呼びかけた。
12日、独フランクフルトの鉄道駅で、支払い要求のメッセージが表示された電光掲示板 |
上記内容が各所で報じられました。イングランドとスコットランドでは医療機関のシステムが被害を受けて、手術が中止になるケースもあったようです。
『Wana Decrypt0r 2.0』『WannaCry 2.0』などの名前を持つこのランサムウェアは、SMB1の脆弱性(MS17-010 / CVE-2017-0144)を悪用していますが、サポート期間中のOSは2017年3月度のWindows Updateで修正済みとなっています。
しかし、Microsoftは今回の騒動を受けて、サポートが既に終了しているOS(XPなど)用の修正パッチ(KB4012598)も緊急リリースしました。現在、下記のアドレスからダウンロードができるようになっています。
Microsoft Updateカタログ 『KB4012598』
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
< Update 1: Win7/8.1/10でSMB1自体を無効化する方法 >
基本的にパッチを当てていれば問題ありませんが、根本的にSMB1を無効にしておきたい方は下記の手順をどうぞ。注意点として、SMB1での通信(例えば古いNASとの通信など)ができなくなります。
<Windows 7>
レジストリエディタを起動して
HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters |
に
SMB1 |
というDWORDを作成。値を0にする。(値0でSMB1を無効、1で有効)
次にコマンドプロンプト(管理者として実行)から下記の2行を実行。
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled |
PC再起動で完了。これでSMB1の機能が無効になります。
再度有効にしたいときはレジストリのSMB1の値を1にして、コマンドプロンプト(管理者として実行)から下記の2行を実行を実行すると元に戻ります。
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto |
<Windows 8.1>
Windows PowerShell(管理者として実行)を起動して下記の1行を実行。
Set-SmbServerConfiguration -EnableSMB1Protocol $false |
上手くいっているか確認するために
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol |
次に『コントロールパネル』 ⇒ 『プログラムと機能』 ⇒ 『Windows の機能の有効化または無効化』から『SMB1.0/CIFS ファイル共有のサポート』のチェックを外します。
PCを再起動するか聞かれるので再起動。これでSMB1の機能が無効になります。
再度有効にしたいときは『Windows の機能の有効化または無効化』から『SMB1.0/CIFS ファイル共有のサポート』のチェックを入れて、Windows PowerShell(管理者として実行)を起動して下記の1行を実行することで元に戻ります。
Set-SmbServerConfiguration -EnableSMB1Protocol $true |
<Windows 10>
『コントロールパネル』 ⇒ 『プログラムと機能』 ⇒ 『Windows の機能の有効化または無効化』から『SMB1.0/CIFS ファイル共有のサポート』のチェックを外します。
PCを再起動するか聞かれるので再起動。これでSMB1の機能が無効になります。
再度有効にしたいときはチェックを入れれば有効になります。
<詳細>
さらに詳しい情報は下記MSのページをご参照くださいませ。
マイクロソフト セキュリティ情報 MS17-010 - 緊急(ページ内下部の『回避策』)
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
関連記事
【ウイルス】 『WannaCry 2.0』によって暗号化されたファイルを復号するソフト『Wannakey』が登場。ただし……
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の発端となったShadow Brokers、新たなエクスプロイトを予告
【ウイルス】 『Wana Decrypt0r 2.0』『WannaCry 2.0』の実行ファイル名は『taskse.exe』