@ITのメルマガ
ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindowsの脆弱性対策
が入った。感染したパソコンの大部分がWindows7 という情報もあったし、今日の天候も味方したことから、プリンターやスキャナーを動かすために譲り受けた Windows7 ノートパソコンのために注意深く読んだ...
- ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindowsの脆弱性対策(@IT 2017年05月24日)
ランサムウェア「WannaCry」(WanaCrypt、Wanna Cryptor、Wcrypt、Wcryなどの別称があります)は、Windowsのほぼ全てのバージョン(最新のWindows 10 Creators Updateを除く)に影響する「MS17-010の脆弱(ぜいじゃく)性」を悪用して感染を広げます(画面1)。
サポート期間中のWindowsのバージョンであっても、適切に更新されていない場合は脆弱性が放置されている可能性があります。Windows Updateのトラブルで、更新が失敗し続けているような場合は要注意です。
筆者の個人ブログに、MS17-010に対応した更新が適用済みであるかどうかを判定するこのバッチファイルを掲載しました。動作を保証することはできませんが、たくさんのPCを確認する作業の効率化の参考にしてください。
ゼロデイ攻撃ではなかったのにもかかわらず、世界中で大きな被害が出ました。その理由は、セキュリティ対策の基本の1つである“セキュリティパッチの適用”ができていなかったからでしょう。一方で、Windows Updateのトラブルで更新に失敗していたユーザーも少なからずいると思います。Windows Updateの品質改善は、マイクロソフトに強く求めたいところです。- 上記にある
「MS17-010に対応した更新が適用済みであるかどうかを判定するこのバッチファイル」
をコピペしてバッチファイルを作り、Windows7 上で動かした。- 暫くして、下記が表示された。37行目の "No MS17-010 vulnerability." が表示されたことから「対策済み」であることが判った。※ バッチファイルの実行結果
- 上記にある
- C:\Users\Owner\Desktop>REM WINDOWS 10 1511
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019473" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015219" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4013198" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>REM WINDOWS 10 1507
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019474" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015221" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012606" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>REM WINDOWS 8.1 AND WINDOWS SERVER 2012 R2
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019215" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015550" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012216" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012213" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>REM WINDOWS SERVER 2012
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019216" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015551" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012217" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012214" 1>Nul
- C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>REM WINDOWS 7 AND WINDOWS SERVER 2008 R2
- C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019264" 1>Nul
- C:\Users\Owner\Desktop>IF 0 == 0 GOTO PACHED
- C:\Users\Owner\Desktop>ECHO No MS17-010 vulnerability.
- No MS17-010 vulnerability.
- C:\Users\Owner\Desktop>GOTO END
- C:\Users\Owner\Desktop>PAUSE
- 続行するには何かキーを押してください . . .
更にページ末にあった下記サイトも調べた。
- [WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)(Japan WSUS Support Team Blog 5月 15, 2017)
このランサムウェアは 2017 年 3 月に修正した MS17-010 の SMB v1 の脆弱性を利用しておりますので、 MS17-010 が適用されていれば脆弱性は修正されていると判断できます。このブログでは、WSUS をご利用いただいているお客様に向けて、MS17-010 の適用状況を確認する方法についてご紹介いたします。
MS17-010 の SMB v1 の脆弱性に対応している更新プログラムの一覧は次の通りです。後述の方法で、対応する更新プログラムがインストールされているかご確認ください。個別での確認方法について
コントロール パネルより、[プログラム] – [インストールされた更新プログラム] を表示して、上記の更新プログラムのいずれかがインストールされていることを確認します。または、次のコマンドを実行して、結果が表示されることを確認します。
wmic qfe list | find “<対応する KB 番号>” KB 番号は、各 OS に対応した更新プログラムのうち、いずれかの更新プログラムの結果が表示されれば対応済みと判断できます。- 早速、行った。結果は下記。
これから「KB4019264」が 5/11/2017 に適用されている‥‥ と、推測される。※ コマンド WMIC QFE の実行結果
- 早速、行った。結果は下記。
- Microsoft Windows [Version 6.1.7601]
- Copyright (c) 2009 Microsoft Corporation. All rights reserved.
- C:\Users\Owner>WMIC QFE LIST | FIND "KB4012212"
- C:\Users\Owner>WMIC QFE LIST | FIND "KB4012215"
- C:\Users\Owner>WMIC QFE LIST | FIND "KB4015549"
- C:\Users\Owner>WMIC QFE LIST | FIND "KB4019264"
- http://support.microsoft.com/?kbid=4019264 AKEMIPC Security Update
KB4019264 NT AUTHORITY\SYSTEM 5/11/2017- C:\Users\Owner>
上記の結果から、[更新履歴の表示]を行ったら、


≪今日の結論≫
という情報が知っているが、Windows7 の Windows Updateはチャンと行っているので安心 と思いきや、「安心してはいけない」と‥‥
そこで、Windows7-PC に MS17-010が適用されているか調べた。その結果は、
- 更新は適用済みであった。
≪番外≫
- re-Think things さんの「インストール済み QFE の一覧を表示する」にあった
wmic qfe list /format:htable > qfelist.htm
コマンドを、Windows10 で行ってみた。

htmlなので、Excelに落とせる。
Windows10の設定 ⇒ Windows Updateから[更新の履歴]を見ると、
