2017/05/08 ランサムウェア被害遭遇まとめ

2017年5月19日2020年9月11日Security (セキュリティ)

RDP (リモート・デスクトップ・プロトコル) 攻撃型ランサムウェア感染被害対策まとめ

概要

2017年05月08日、私は、 PC の中のファイルを勝手に暗号化するランサムウェアの被害に遭いました。
他の人々が同じ被害に遭わないように、自分の体験談をまとめることにしました。

自分としては、セキュリティ対策はしっかりやっていたつもりだったんです。

そのときの PC 環境

OS は、「Windows 7 Professional Service Pack 1」を使用していた
「Windows Update」は、先月分 (2017年04月) の更新プログラムまで適用していた
ファイアウォールは、「Windows」の機能「セキュリティが強化された Windows ファイアウォール」を使用していた
ウイルス対策ソフトウェアは、「Microsoft Security Essentials」を実行していた
ウイルス対策ソフトウェアの機能「リアルタイム保護」は、「有効」にしていた
ルーターと PC は、有線 LAN ケーブルで接続していた
PC に、ワイヤレスネットワーク機能 (無線 LAN 機能) はあったが、「OFF」にしていた
メールソフトは使用していなかった

そのときのルーター環境

ルーターは、「NEC Aterm WR8700N」を使用していた
「IPv6 ブリッジ」機能は、「使用しない」に設定していた
「PING 応答機能」は、チェックボックス「使用する」のチェックをはずしておいた
無線 LAN 機能は、チェックボックス「使用する」をチェックはしていたが、全ての PC は有線 LAN ケーブルで接続していた
無線 LAN 機能の「暗号化モード」は、「WPA/WPA2-PSK(AES)」を選択していた
無線 LAN 機能の「暗号化モード」の「WPA 暗号化キー (PSK)」は、設定できる上限「63桁」にしていた (アルファベットの大文字・小文字・数字・記号を混合使用)
「ESS-ID ステルス機能(SSID の隠蔽)」は、チェックボックス「使用する」をチェックしていた
「MAC アドレスフィルタリング機能」は、チェックボックス「使用する」をチェックしていた
無線 LAN 端末の MAC アドレスを登録し、登録した端末だけがルーターに接続できるようにしていた
「パケットフィルタ設定」で自分で開けたポートは、ポート番号「80」だけだった
不正パケットを廃棄する「セキュリティ保護機能」は、チェックボックス「使用する」をチェックしていた
「IPsec パススルー機能」は、チェックボックス「使用する」のチェックをはずしておいた
「メディアサーバ機能」は、チェックボックス「使用する」のチェックをはずしておいた
「DMZ ホスト機能」は、チェックボックス「使用する」のチェックをはずしておいた
「管理者パスワード」は、設定できる上限「64桁」に近い63桁にしていた (アルファベットの大文字・小文字・数字・記号を混合使用)

これだけのセキュリティ対策をしていても、ランサムウェア被害に遭うんです。

セキュリティー対策

ランサムウェアの被害を受けた後に、私がしたことは次のとおり。 (一時的なものも含む。)

ルーターのネットワークを全て切断する
目的：通信を遮断して、自らが管理をするネットワーク内へ他者が侵入することを防ぐこと
期間：対策が終了するまで
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：
1. 設定画面 [クイック設定 Web] 起動
2. トップページ [装置情報]
3. ボタン [切断] クリック (全ての接続先を切断する)
4. ボタン [最新状態に更新] クリック
PC のネットワークを全て切断する
目的：通信を遮断して、自らが管理をするネットワーク内の他の機器へ被害が及ぶことを防ぐこと
期間：対策が終了するまで
対象：自らが管理をする全ての PC
例) 「Windows 7」の場合
手順：
1. [ネットワークと共有センター]
2. [切断] 又は [無効] 等 (全ての接続先を切断する。 OS によって切断方法が違う場合がある)
PC のパスワードを変更する
目的：現在のパスワードを無効にして、自らが管理をする PC へ他者がログインすることを防ぐこと
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7」の場合
手順：
1. キー [Ctrl] ＋キー [Alt] ＋キー [Del] 同時押し
2. [パスワードの変更 (C)…]
3. [古いパスワード]
4. [****************************************************************] 入力
5. [新しいパスワード]
6. [****************************************************************] 入力 (← この文字列は自分が決める。127文字以内。最長の127文字が望ましい)
7. [パスワードの確認入力]
8. [****************************************************************] 入力
9. ボタン [OK] クリック
PC の機能「リモートデスクトップ接続」を無効にする
目的：ネットワークを通じたログインを無効にして、自らが管理をする PC が他者に遠隔操作されることを防ぐこと
期間：対策が終了するまで
対象：自らが管理をする全ての PC
例) 「Windows 7 Professional」の場合
手順：
1. ボタン [スタート] クリック
2. メニュー [コントロールパネル] クリック
3. [コントロールパネル\すべてのコントロールパネル項目]
4. [システム] クリック
5. 左ペイン [リモートの設定] クリック
6. ダイアログボックス [システムのプロパティ]
7. タブ [リモート]
8. セクション [リモートデスクトップ]
9. オプション [このコンピュータへの接続を許可しない(D)]
10. ボタン [適用] クリック
11. ボタン [OK] クリック

PC の「リモートデスクトッププロトコル」の標準ポート番号を変更する

目的：「Windows」の機能「リモートデスクトップ接続」の標準ポート番号 [3389] を無効にして、自らが管理をする PC へ同機能を使用して接続する際に、「コンピューター名」・「ユーザー名」・「パスワード」の入力に加えて、自分が決めた「新しいポート番号」の入力を強制して、パスワード総当たり攻撃を困難にすること
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7 Professional」の場合
手順：

ボタン [スタート] クリック
メニュー [ファイル名を指定して実行…] クリック
ダイアログボックス [ファイル名を指定して実行]
[名前(O):]
[regedit] 入力
ボタン [OK] クリック
[レジストリエディター]
左ペイン [HKEY_LOCAL_MACHINE] クリック
左ペイン [SYSTEM] クリック
左ペイン [CurrentControlSet] クリック
左ペイン [Control] クリック
左ペイン [Terminal Server] クリック
左ペイン [WinStations] クリック
左ペイン [RDP-Tcp] クリック
右ペイン [PortNumber] 右クリック
コンテキストメニュー [修正(M)…] クリック
ダイアログボックス [DWORD (32 ビット) 値の編集]
セクション [表記]
オプション [10 進数(D)] 選択
[値のデータ(V):]

[?????] 入力 (← 自分が決めた新しいポート番号を入力する。通常は、49152～65535のいずれか。)

解説
「リモートデスクトッププロトコル」のポート番号として使うべきでない数字 (ポートの目的が推測されやすい) ：
例) 3390, 13389, 23389, 33389, 43389, 53389, 63389

ボタン [OK] クリック
メニュー [ファイル(F)] クリック
メニュー [レジストリエディタの終了(X)] クリック

PC を再起動する

解説
今後、自らが管理をする PC へ「リモートデスクトップ接続」機能を使用して接続する際には、 [コンピューター(C):] の所に [192.168.XXX.XXX:?????] のように入力して接続することになります。 ([?????] は、自分が決めた新しいポート番号)

PC の「ファイアウォール」の設定を変更する

目的：自分が決めた新しいポート番号で、「Windows」の機能「リモートデスクトップ接続」を使用できるようにすること
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7 Professional」及び「セキュリティが強化された Windows ファイアウォール」の場合
手順：

ボタン [スタート] クリック
メニュー [ファイル名を指定して実行…] クリック
[名前(O):]
[WF.msc] 入力
ボタン [OK] クリック
[セキュリティが強化された Windows ファイアウォール]
左メニュー [受信の規則] クリック

次のいずれかを選択する

既存の規則を無効化し、新しい規則を作成する
既存の規則を変更する

「既存の規則を無効化し、新しい規則を作成する」を選択する場合

既存の規則の無効化
手順：
1. 名前 [リモートデスクトップ (TCP 受信)] プロファイル [ドメイン] 右クリック
2. コンテキストメニュー [規則の無効化] クリック
3. 名前 [リモートデスクトップ (TCP 受信)] プロファイル [プライベート] 右クリック
4. コンテキストメニュー [規則の無効化] クリック
5. 名前 [リモートデスクトップ (TCP 受信)] プロファイル [パブリック] 右クリック
6. コンテキストメニュー [規則の無効化] クリック

新しい規則の作成
手順：

左メニュー [受信の規則] クリック
メニュー [操作(A)] クリック
メニュー [新しい規則(N)…] クリック
ダイアログボックス [新規の受信の規則ウイザード]
オプション [カスタム(C)] 選択
ボタン [次へ(N) >] クリック
オプション [すべてのプログラム(A)] 選択
ボタン [次へ(N) >] クリック
[プロトコルの種類(P):]
ドロップダウンリスト [TCP] 選択
[ローカルポート(L):]
ドロップダウンリスト [特定のポート] 選択

[?????] 入力 (← 自分が決めた新しいポート番号を入力する。通常は、49152～65535のいずれか)

ボタン [次へ(N) >] クリック
[この規則を適用するリモート IP アドレスを選択してください。]
オプション [これらの IP アドレス(H):] 選択
ボタン [追加(D)…] クリック
オプション [この IP アドレスまたはサブネット(A):]
[192.168.XXX.XXX] 入力 (← リモートコンピューター (接続元) の IP アドレスを入力。サブネットではなく単一の IP アドレスが望ましい)
ボタン [OK] クリック
ボタン [次へ(N) >] クリック
オプション [接続を許可する(A)] 選択
ボタン [次へ(N) >] クリック
チェックボックス [ドメイン(D)] チェック
チェックボックス [プライベート(P)] チェック
チェックボックス [パブリック(U)] チェック
ボタン [次へ(N) >] クリック
[名前(N):]
[リモートデスクトップ接続] 入力 (← この名前は自分が決める)
ボタン [完了(F)] クリック

「既存の規則を変更する」を選択する場合
手順：
1. 名前 [リモートデスクトップ (TCP 受信)] 右クリック (← 複数のプロファイル ([ドメイン] [プライベート] [パブリック]) が存在している場合は、全て同じ手順で設定する。)
2. コンテキストメニュー [プロパティ(R)] クリック
3. タブ [スコープ] クリック
4. セクション [リモート IP アドレス]
5. オプション [これらの IP アドレス] 選択
6. ボタン [追加…] クリック
7. ダイアログボックス [IP アドレス]
8. オプション [この IP アドレスまたはサブネット(A):] 選択
9. [192.168.XXX.XXX] 入力 (← リモートコンピューター (接続元) の IP アドレスを入力。サブネットではなく単一の IP アドレスが望ましい)
10. ボタン [OK] クリック
11. ボタン [適用] クリック
12. ボタン [OK] クリック

「アカウントロックアウト」の設定をする前に、予備のアカウントを作成しておく

解説
パスワードの入力を一定回数以上間違えたら、ロックがかかるようにしたい。
しかし、他者から「ブルートフォース攻撃」 (パスワード総当り攻撃。 Brute-force attack) を受け続けた場合、長期間にわたって、自分自身がログインできなくなるおそれがある。
そういうときのために、予備のアカウントを作成しておく。

目的：メインのアカウントがロックされて PC にログインできない場合でも、別のアカウントで PC にログインできるようにすること
期間：
対象：自らが管理をする全ての PC
例) 「Windows 7」の場合
手順：

ボタン [スタート] クリック
メニュー [コントロールパネル] クリック
次のいずれかを選択する
1. [コントロールパネル] の表示方法が [大きいアイコン] または [小さいアイコン] の場合
2. [コントロールパネル] の表示方法が [カテゴリ] の場合
1. [コントロールパネル] の表示方法が [大きいアイコン] または [小さいアイコン] の場合
  1. [ユーザーアカウント] クリック
  2. [別のアカウントの管理] クリック
2. [コントロールパネル] の表示方法が [カテゴリ] の場合
  1. [ユーザーアカウントの追加または削除] クリック
[新しいアカウントの作成] クリック
[新しいアカウント名]
[god-password-is-zero] 入力 (← この文字列は自分が決める。20文字以内 (半角の場合) の文字列。最長の20文字が望ましい)
記号のうち、 ! # $ ^ & ( ) – ' . などは使用することができるので入れておくべき (「Windows 7」の場合)
オプション [管理者(A)] 選択
ボタン [アカウントの作成] クリック
今作成したアカウントをクリック
[パスワードの作成] クリック
[新しいパスワード]
[*******************************************************************************************************************************] 入力 (← この文字列は自分が決める。127文字以内。最長の127文字が望ましい)
[新しいパスワードの確認]
[*******************************************************************************************************************************] 入力
[パスワードのヒントの入力]
[20桁の数字 (20-digit number)] 入力 (← この文字列は自分が決める。わざとデタラメなヒントにすることを検討する)

ボタン [パスワードの作成] クリック

解説
もし、アカウント名が「god–password–is–zero」で、パスワードのヒントが「20桁の数字 (20–digit number)」だったとして、不正ログインを試行する者は何を考えるか。

「パスワードは『00000000000000000000』 (← 0が20個) かな」 → 入力 → ログインできない
「パスワードは『zero』？」 → 入力 → ログインできない
「パスワードは『0』 (← 0が1個) かな」 → 入力 → ログインできない

この時点で、ログインに3回失敗している。
「パスワードは『ZERO』か『Zero』？」 → 入力 → ログインできない
「パスワードは『zEro』『zeRo』『zerO』『ZEro』『zERo』『zeRO』『ZeRo』『zErO』？」 → 入力 → ログインできない
「パスワードは『god』？」 → 入力 → ログインできない
「パスワードは『password-is-zero』？」 → 入力 → ログインできない
「ちょっと待て。この『アカウント名』自体が全部で20文字じゃね？ 1、2、3、4・・・・20。気づいた私は天才かも」 → 入力 → ログインできない
「ひょっとして・・・、『20桁の数字 (20-digit number)』自体がパスワード？」 → 入力 → ログインできない
「しょうがない。ブルートフォースアタックを使うか・・・」 → 入力 → 127文字の場合、解読にものすごい時間がかかる。

「Kaspersky Secure Password Check」(https://password.kaspersky.com/jp/)
によると、スーパーコンピューターを使って、127文字のパスワードの解読に必要とされる時間： 10000+世紀

PC の「ローカルセキュリティポリシー」の設定を変更する
1. 「アカウントのロックアウトのしきい値」を設定する
  目的：パスワードを間違って入力した場合にロックがかかる回数を設定すること
  期間：
  対象：自らが管理をする全ての PC
  例) 「Windows 7 Professional」の場合
  手順：
  1. ボタン [スタート] クリック
  2. メニュー [ファイル名を指定して実行…] クリック
  3. [名前(O):]
  4. [secpol.msc] 入力
  5. ボタン [OK] クリック
  6. [ローカルセキュリティポリシー]
  7. コンソールツリー [アカウントポリシー] クリック
  8. コンソールツリー [アカウントロックアウトのポリシー] クリック
  9. ポリシー [アカウントのロックアウトのしきい値] 右クリック
  10. コンテキストメニュー [プロパティ(R)] クリック
  11. ダイアログボックス [アカウントのロックアウトのしきい値のプロパティ]
  12. タブ [ローカルセキュリティの設定]
  13. [5] 入力 (← この数字は自分が決める。 [5] なら、5回連続して間違うとロックがかかる。「マイクロソフト」の推奨値=[50])
  14. ボタン [適用] クリック
  15. ボタン [OK] クリック
2. 「ロックアウトカウンターのリセット」を設定する
  1. ポリシー [ロックアウトカウンターのリセット] 右クリック
  2. コンテキストメニュー [プロパティ(R)] クリック
  3. ダイアログボックス [ロックアウトカウンターのリセットのプロパティ]
  4. タブ [ローカルセキュリティの設定]
  5. [5] 入力 (← この数字は自分が決める。 [5] なら、5分後にカウントがリセットされる。1日=[1440]分, 30日=[43200]分, 60日=[86400]分, 69.44375日(上限)=[99999]分。「マイクロソフト」の推奨値=[30])
  6. ボタン [適用] クリック
  7. ボタン [OK] クリック
3. 「ロックアウト期間」を設定する
  1. ポリシー [ロックアウト期間] 右クリック
  2. ダイアログボックス [ロックアウト期間のプロパティ]
  3. タブ [ローカルセキュリティの設定]
  4. [5] 入力 (← この数字は自分が決める。 [5] なら、5分間だけロックされる。1日=[1440]分, 30日=[43200]分, 60日=[86400]分, 69.44375日(上限)=[99999]分。「マイクロソフト」の推奨値=[30])
4. 「リモートデスクトップサービスを使ったログオンを許可」を設定する
  目的：自らが管理をする PC に、「Windows」の機能「リモートデスクトップ接続」でログインできるユーザーを、前もって「ユーザー名」で指定しておくこと
  期間：
  対象：自らが管理をする全ての PC
  例) 「Windows 7 Professional」の場合
  手順：
  1. コンソールツリー [ローカルポリシー] クリック
  2. コンソールツリー [ユーザー権利の割り当て] クリック
  3. ポリシー [リモートデスクトップサービスを使ったログオンを許可] 右クリック
  4. コンテキストメニュー [プロパティ(R)] クリック
  5. ダイアログボックス [リモートデスクトップサービスを使ったログオンを許可のプロパティ]
  6. タブ [ローカルセキュリティの設定]
  7. ボタン [ユーザーまたはグループの追加(U)…] クリック
  8. ダイアログボックス [ユーザーまたはグループの選択]
  9. ボタン [詳細設定(A)…] クリック
  10. ボタン [検索(N)] クリック
  11. [検索結果(U):]
  12. 名前 (RDN) [(自分のユーザー名)] 選択 (← 自分が普段使用しているユーザー名を選択)
  13. ボタン [OK] クリック
  14. ボタン [OK] クリック
  15. ボタン [ユーザーまたはグループの追加(U)…] クリック
  16. ダイアログボックス [ユーザーまたはグループの選択]
  17. ボタン [詳細設定(A)…] クリック
  18. ボタン [検索(N)] クリック
  19. [検索結果(U):]
  20. 名前 (RDN) [(新しく作成したアカウントのユーザー名)] 選択 (← 新しく作成したアカウント (予備のアカウント) のユーザー名を選択)
  21. ボタン [OK] クリック
  22. ボタン [OK] クリック
  23. [Administrator] 選択
  24. ボタン [削除(R)] クリック
  25. [Remote Desktop Users] 選択
  26. ボタン [削除(R)] クリック
  27. ボタン [適用(A)] クリック
  28. ボタン [OK] クリック
5. 「対話型ログオン: 最後のユーザー名を表示しない」を設定する
  目的：自らが管理をする PC へログインする際に、「ユーザー名」の入力を強制して、パスワード総当たり攻撃を困難にすること
  期間：
  対象：自らが管理をする全ての PC
  例) 「Windows 7 Professional」の場合
  手順：
  1. コンソールツリー [セキュリティオプション] クリック
  2. ポリシー [対話型ログオン: 最後のユーザー名を表示しない] 右クリック
  3. コンテキストメニュー [プロパティ(R)] クリック
  4. ダイアログボックス [対話型ログオン: 最後のユーザー名を表示しないのプロパティ]
  5. タブ [ローカルセキュリティの設定]
  6. オプション [有効(E)] 選択
  7. ボタン [適用(A)] クリック
  8. ボタン [OK] クリック

ルーターの設定で、「リモートデスクトッププロトコル」の標準ポート番号3389を閉じる

目的：インターネット側からポートスキャンをする他者に対し、「リモートデスクトップ接続」機能が使えない PC だと思わせること
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：

設定画面 [クイック設定 Web] 起動
左メニュー [詳細設定] クリック
左メニュー [パケットフィルタ設定] クリック
[対象インタフェースを選択] 選択
ボタン [選択] クリック
画面上の [11～20] や [21～30] 等をクリックし、空いている [優先度] の数字を確認しておく。
ボタン [追加] クリック

[パケットフィルタエントリ追加]

種別	方向	プロトコル	宛先ポート	優先度
廃棄	in	tcp	3389	20 (← この数字は自分が決める)
廃棄	out	tcp	3389	21 (← この数字は自分が決める)
廃棄	in	udp	3389	22 (← この数字は自分が決める)
廃棄	out	udp	3389	23 (← この数字は自分が決める)

左メニュー [保存] クリック

ルーターの設定で、自分が決めた新しい「リモートデスクトッププロトコル」のポート番号を閉じる

目的：自分が決めた新しいポート番号を閉じて、自らが管理をするネットワークの外側から「Windows」の機能「リモートデスクトップ接続」を使用できないようにしておくこと
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：

設定画面 [クイック設定 Web] 起動
左メニュー [詳細設定] クリック
左メニュー [パケットフィルタ設定] クリック
[対象インタフェースを選択] 選択
ボタン [選択] クリック
画面上の [11～20] や [21～30] 等をクリックし、空いている [優先度] の数字を確認しておく。
ボタン [追加] クリック

[パケットフィルタエントリ追加]

種別	方向	プロトコル	宛先ポート	優先度
廃棄	in	tcp	????? (← 自分が決めた新しいポート番号を入力する)	24 (← この数字は自分が決める)
廃棄	out	tcp	????? (← 自分が決めた新しいポート番号を入力する)	25 (← この数字は自分が決める)
廃棄	in	udp	????? (← 自分が決めた新しいポート番号を入力する)	26 (← この数字は自分が決める)
廃棄	out	udp	????? (← 自分が決めた新しいポート番号を入力する)	27 (← この数字は自分が決める)

左メニュー [保存] クリック

ルーターのパスワードを変更する
目的：自らが管理をするルーターの設定が他者に変更されることを防ぐこと
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：
1. 設定画面 [クイック設定 Web] 起動
2. 左メニュー [メンテナンス] クリック
3. 左メニュー [管理者パスワードの変更] クリック
4. [現在のパスワード]
5. [****************************************************************] 入力
6. [新しいパスワード]
7. [****************************************************************] 入力 (← この文字列は自分が決める。半角英数字及び記号 – _ を使用して64文字以内。64文字が望ましい)
8. [新しいパスワード再入力]
9. [****************************************************************] 入力
10. ボタン [設定] クリック
11. 左メニュー [保存] クリック
ルーターの設定を保存する
目的：自らが管理をするルーターの設定が初期化されても復元できるようにしておくこと
期間：
対象：自らが管理をする全てのルーター
例) 「Aterm」 (NEC プラットフォームズ株式会社の製品) の場合
手順：
1. 設定画面 [クイック設定 Web] 起動
2. 左メニュー [メンテナンス] クリック
3. 左メニュー [設定値の保存＆復元] クリック
4. [ファイルへ保存] クリック
5. ダイアログ [ファイルのダウンロード]
6. ボタン [保存(S)] クリック
7. ダイアログ [名前を付けて保存]
8. ボタン [保存(S)] クリック
9. ダイアログ [ダウンロードの完了]
10. ボタン [閉じる] クリック