Orion: ランサムウェア対策方法 (MS17-010)

Version 9

    ■ はじめに

     

    昨今流行しているランサムウェア対策について記載致します。

     

     

    ■ 概要

     

    WannaCry cyber attack - Wikipedia  ランサムウェアは、ファイル共有プロトコル SMB version 1 の脆弱性を使用していますので、

    修正プログラムの適用 または 機能停止を実施することなどで対策できます。(詳細は下記LINKをご確認ください)

     

     

    ■ 関連情報

     

    ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – 日本のセキュリティチーム

    マイクロソフト セキュリティ情報 MS17-010 - 緊急「Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)」

     

    世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

    ランサムウエア "WannaCrypt" に関する注意喚起 - JPCERT-CC

     

    WannaCrypt ransomware worm targets out-of-date systems – Windows Security (英語:マイクロソフト社による詳細解説)

    RANSOMWARE WANNACRY? NOT ME. HERE'S WHY. (英語:SolarWindsギークによる対策一覧)

     

     

    ■ 対応方法

     

    < MS17-010適用 >

     

    MS17-010: Windows SMB サーバー用のセキュリティ更新プログラム - 2017 年 3 月 15 日

     

    OrionサーバーやSQLサーバーに対して、MS17-010を適用していただいて問題ございません。

    むしろ、Windows Update にて最新の状態までしていただくことを推奨いたします。

     

    Windows Update によるアプリケーションへの影響は基本的にございませんが、

    念の為、事前にDBバックアップすることを合わせて推奨します。全般: SQLDBのバックアップ/リストア方法

     

     

    < SMB v1 無効化 >

     

    Windows と Windows Server で SMBv1、SMBv2、SMBv3 を有効または無効にする方法

     

     

    < ポートブロック >

     

    関連ポートをブロックした場合、SAM を使用されている環境に影響がございます。

    パフォーマンスカウンタモニタやWindowsイベントログモニターなどを監視する際、

    RPC/名前付きパイプ TCP/UDPにて、該当するポート135, 137, 138, 139, 445 を使用しています。

     

    また、Orion Agent をインストールする際にもポート135445を使用しています。

    詳細に付きましては、弊社ポート要件をご確認ください。

     

    SolarWindsポート要件

    Port requirements for all SolarWinds products - SolarWinds Worldwide, LLC. Help and Support

     

     

    ■ 問題発生時の対応

     

    連続稼動している環境において、OS再起動やパッチ適応などの作業を行うことは稀に問題を引き起こすケースがございます。(Orion Web Console が正常に起動しないなど)

    その際の対応について以下にリンクを参考にして下さい。 ※ 再起動直後は直ぐに操作せずに、5~10分ほど待ってアクセス確認を行うことが望ましいです。

     

    Orion: トラブルシューティング

     

    問題は再起動後に何かしらの異常が見られるケースがあります。その際は、上記手順2からOSをもう一度再起動して確認して下さい。

    もし復旧しない場合は、手順3と進み設定ウィザードの実行を行って下さい。

     

     

    ■ まとめ

     

    SolarWinds Orion サーバーやSQLサーバーに対して、MS17-010を適用していただいて問題ございません。

    念の為、事前に SolarWindsOrion DB をバックアップして、Windows Update にて最新版にしていただければと存じます。

     

    合わせて、Orion: アップグレード方法 も検討していただければ幸いです。