ポートアクセスやセキュリティグループの設定、バックアップやセキュリティ推奨構成まで
AWSJ、WannaCryのAWSサービスへの影響について情報提供
2017年05月18日 14時00分更新
5月17日、アマゾン ウェブ サービス ジャパンは世界で猛威を振るっているランサムウェア「WannaCry」に関するAWSサービスに対する影響についてブログで情報公開した。
WannaCryはファイル共有や印刷共有を実現するWindowsのSMBサーバーの脆弱性を悪用し、SMBサーバーはUDPポート137/138およびTCPポート139/445で動作する。Windowsの複数のバージョンが対象になっており、2017年3月14日には脆弱性を解消すべく、Microsoft Windows SMB Server(4013389)の重要なセキュリティ更新プログラムをリリースされている。
まず、Amazon EC2上のWindowsに関しては、AWSから提供されている2017.04.12以降のリリースのAMI(Amazon Machine Images)であれば、この脆弱性の被害を受けないという。2017.04.12より前のAMIを使用している場合でも、自動更新が有効になっている場合は、この脆弱性は解消されるという。
また、AWSではセキュリティのベストプラクティスに従い、セキュリティグループの設定を確認し、その必要のあるインスタンスおよびリモートホストに対してのみ前述のポートへのアクセスを許可することを勧めている。デフォルトでは、EC2セキュリティグループはこれらのポートをブロックするという。Amazon WorkSpacesに関しては、2017年4月15日以降にWorkSpaceを作成した、または自動更新を有効にしたAmazon WorkSpacesのユーザーは、脆弱性の影響を受けない。 2017年4月15日より前にWorkSpaceを作成し、自動更新を有効にしていないユーザーは、セキュリティ更新プログラムをインストールするか、 WorkSpaceを終了して再作成することをお勧めするという。
今回のようなマルウェアの被害を防ぐ、AWSサービスの効果的な使い方に関しても言及。Amazon EC2でセキュリティ診断を行なう「Amazon Inspector」を使うことで、CVE(共通脆弱性識別子)のルールパッケージに基づいた診断が可能で、WannaCryに関連するCVE-2017-0143からCVE-2017-0148の脆弱性の検証ができる。さらにエージェントを用いてインスタンスを管理する「Amazon EC2 Systems Manager」を利用すれば、シェルスクリプトやPowerShellコマンドの実行、パッチ適用の時間指定、定期実行などの管理タスクを簡単に自動化できるほか、Windowsのセキュリティ更新プログラム適用に利用できるという。
その他、推奨するAWSソリューションとしてバックアップや復元ソリューション、セキュリティ推奨構成を保つためのガイドについても言及されている。