更新されたソフォスは、先週の壊滅的なWannaCryptの発生を受けて、NHSをサイバー攻撃から保護しているという主張を弱めるために、週末にウェブサイトを更新した。
週末の刷新後、誇り高い Web サイトは「NHS は Sophos によって完全に保護されている」と自慢していたが、「Sophos は NHS のセキュリティ ニーズを理解している」と変わった。
元職員のグラハム・クルーリー氏を含む警備監視員らが逆フェレットに気づいた。
ソフォスは、多数のNHSトラストの病院が予定されていた治療や診察の延期を余儀なくされた感染拡大から数時間後、英国夏時間18時25分まで定義ファイルのアップデートを公開しませんでした。ソフォスのLive Protection機能が有効になっていれば、それよりも早くWannaCryptを検出できたはずです。
シグネチャの更新は、現代のマルウェア対策における唯一のセキュリティ層ではありませんが、これは、ソフォスの技術が、2か月前にマイクロソフトによって修正された既知の脆弱性に基づく攻撃を検出できなかった理由について、さらなる疑問を投げかけるだけです。
ソフォスはここ数週間、特に2月のInvincea買収以降、ランサムウェア対策の強化について積極的に取り組んできました。先月、同社はSophos Server Protection製品の有料アドオンとして、ランサムウェア対策CryptoGuardテクノロジーを発表しました。
El Reg は、セキュリティ防御に何が起きたのかについて Sophos にコメントを求めたが、問い合わせに対する回答以外にはまだ返答がない。
ソフォスのソーシャルメディアスタッフは、災害発生前日の木曜日に、自社の技術がランサムウェア攻撃をいかに防御できるかについてツイートしていた。
Sophos と NHS、WannaCrypt 以前と以後 [出典: Twitter]
すべてちょっと気まずいです。
しかし、ソフォスの幹部は、セキュリティ会社の株価が感染拡大以降大幅に上昇し、月曜日の昼食前の取引だけで7.5%上昇し、本稿執筆時点で366.80に達したことで、自らを慰めている。®
15:05 UTCに更新されました
Sophos 社は、Sophos Intercept X または Exploit Prevention (EXP) を使用している顧客は「最初からランサムウェアの動作に対して積極的に保護されていた」と連絡してきました。
同社はさらに、「Sophos Endpoint Protectionは、WannaCryランサムウェアのいくつかの亜種を既に検出しています。5月12日(金)15時58分(UTC)に、新たな攻撃で検出されなかったサンプルの検出を追加しました。これは実行ファイルとエクスプロイトの複雑な組み合わせであり、分析には時間を要しました。また、すべてのIDとルールの更新は、お客様にリリースする前に徹底的にテストしています。当社のウェブサイトのKBAに記載されている17時25分(UTC)は、すべてのお客様が更新を完了しているはずの時間です。KBAのこの文言をより明確にするために更新作業を進めています。」と付け加えました。
ソフォスはその後、このマルウェアの将来の亜種とその手法をブロックするために、Sophos Endpoint Protection に後続のIDと汎用検出ルールを追加してきました。また、すべてのお客様に積極的に連絡を取り、Microsoft OS の根本的な脆弱性を軽減する Microsoft のパッチを適用するようアドバイスしています。
それでは、WannaCrypt の流行に関する当社の分析をお読みください。
