まりふのひと

ランサムウェア/Windows7-PCにMS17-010が適用されていることを確認した

Security

 @ITのメルマガ
   ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindows脆弱性対策
が入った。感染したパソコンの大部分がWindows7 という情報もあったし、今日の天候も味方したことから、プリンターやスキャナーを動かすために譲り受けた Windows7 ノートパソコンのために注意深く読んだ...

  • ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindowsの脆弱性対策
    (@IT 2017年05月24日)
     ランサムウェア「WannaCry」(WanaCrypt、Wanna Cryptor、Wcrypt、Wcryなどの別称があります)は、Windowsのほぼ全てのバージョン(最新のWindows 10 Creators Updateを除く)に影響する「MS17-010の脆弱(ぜいじゃく)性」を悪用して感染を広げます(画面1)。
     サポート期間中のWindowsのバージョンであっても、適切に更新されていない場合は脆弱性が放置されている可能性があります。Windows Updateのトラブルで、更新が失敗し続けているような場合は要注意です。
     筆者の個人ブログに、MS17-010に対応した更新が適用済みであるかどうかを判定するこのバッチファイルを掲載しました。動作を保証することはできませんが、たくさんのPCを確認する作業の効率化の参考にしてください。
     ゼロデイ攻撃ではなかったのにもかかわらず、世界中で大きな被害が出ました。その理由は、セキュリティ対策の基本の1つである“セキュリティパッチの適用”ができていなかったからでしょう。一方で、Windows Updateのトラブルで更新に失敗していたユーザーも少なからずいると思います。Windows Updateの品質改善は、マイクロソフトに強く求めたいところです。
    • 上記にある
        「MS17-010に対応した更新が適用済みであるかどうかを判定するこのバッチファイル」
      をコピペしてバッチファイルを作り、Windows7 上で動かした。
      • 暫くして、下記が表示された。37行目の "No MS17-010 vulnerability." が表示されたことから「対策済み」であることが判った。

        ※ バッチファイルの実行結果

  1. C:\Users\Owner\Desktop>REM WINDOWS 10 1511
  2. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019473" 1>Nul
  3. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  4. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015219" 1>Nul
  5. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  6. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4013198" 1>Nul
  7. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  8. C:\Users\Owner\Desktop>REM WINDOWS 10 1507
  9. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019474" 1>Nul
  10. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  11. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015221" 1>Nul
  12. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  13. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012606" 1>Nul
  14. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  15. C:\Users\Owner\Desktop>REM WINDOWS 8.1 AND WINDOWS SERVER 2012 R2
  16. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019215" 1>Nul
  17. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  18. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015550" 1>Nul
  19. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  20. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012216" 1>Nul
  21. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  22. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012213" 1>Nul
  23. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  24. C:\Users\Owner\Desktop>REM WINDOWS SERVER 2012
  25. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019216" 1>Nul
  26. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  27. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4015551" 1>Nul
  28. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  29. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012217" 1>Nul
  30. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  31. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4012214" 1>Nul
  32. C:\Users\Owner\Desktop>IF 1 == 0 GOTO PACHED
  33. C:\Users\Owner\Desktop>REM WINDOWS 7 AND WINDOWS SERVER 2008 R2
  34. C:\Users\Owner\Desktop>WMIC QFE LIST | FIND "KB4019264" 1>Nul
  35. C:\Users\Owner\Desktop>IF 0 == 0 GOTO PACHED
  36. C:\Users\Owner\Desktop>ECHO No MS17-010 vulnerability.
  37. No MS17-010 vulnerability.
  38. C:\Users\Owner\Desktop>GOTO END
  39. C:\Users\Owner\Desktop>PAUSE
  40. 続行するには何かキーを押してください . . .

 更にページ末にあった下記サイトも調べた。

  • [WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)(Japan WSUS Support Team Blog 5月 15, 2017)
     このランサムウェアは 2017 年 3 月に修正した MS17-010 の SMB v1 の脆弱性を利用しておりますので、 MS17-010 が適用されていれば脆弱性は修正されていると判断できます。このブログでは、WSUS をご利用いただいているお客様に向けて、MS17-010 の適用状況を確認する方法についてご紹介いたします。
     MS17-010 の SMB v1 の脆弱性に対応している更新プログラムの一覧は次の通りです。後述の方法で、対応する更新プログラムがインストールされているかご確認ください。

    個別での確認方法について

     コントロール パネルより、[プログラム] – [インストールされた更新プログラム] を表示して、上記の更新プログラムのいずれかがインストールされていることを確認します。または、次のコマンドを実行して、結果が表示されることを確認します。
       wmic qfe list | find “<対応する KB 番号>”

     KB 番号は、各 OS に対応した更新プログラムのうち、いずれかの更新プログラムの結果が表示されれば対応済みと判断できます。
    • 早速、行った。結果は下記。
       これから「KB4019264」が 5/11/2017 に適用されている‥‥ と、推測される。

      ※ コマンド WMIC QFE の実行結果

  1. Microsoft Windows [Version 6.1.7601]
  2. Copyright (c) 2009 Microsoft Corporation. All rights reserved.
  3. C:\Users\Owner>WMIC QFE LIST | FIND "KB4012212"
  4. C:\Users\Owner>WMIC QFE LIST | FIND "KB4012215"
  5. C:\Users\Owner>WMIC QFE LIST | FIND "KB4015549"
  6. C:\Users\Owner>WMIC QFE LIST | FIND "KB4019264"
  7. http://support.microsoft.com/?kbid=4019264   AKEMIPC Security Update
       KB4019264   NT AUTHORITY\SYSTEM  5/11/2017
  8. C:\Users\Owner>

 上記の結果から、[更新履歴の表示]を行ったら、

2017-5-11 に KB4019264 が更新に成功していた。因みに

KB4012215 は 2017/03/21 に更新されていた。

≪今日の結論≫

という情報が知っているが、Windows7Windows Updateはチャンと行っているので安心 と思いきや、「安心してはいけない」と‥‥ 
そこで、Windows7-PC に MS17-010が適用されているか調べた。その結果は、

  • 更新は適用済みであった。

≪番外≫


htmlなので、Excelに落とせる。

Windows10の設定 ⇒ Windows Updateから[更新の履歴]を見ると、

こちらは、全く選択できないので、画像として保存? するしかない。