Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

OSのアップデートを忘れずに!ランサムウェア「WannaCry」が世界各地に拡大

2017/05/16 13:10

 週末からランサムウェア「WannaCry」が世界各地で感染を広げている。ランサムウェアとは身代金要求型の不正プログラムだ。トレンドマイクロは5月15日、被害が拡大しているランサムウェア「WannaCry/Wcry」に関する緊急解説セミナーを開催し、同社セキュリティエバンジェリスト 岡本勝之氏が解説した。

 今回、世界各地で被害が報告されているランサムウェアは、「WannaCry」のほかにも「Wanna Cryptor」、「WannaCrypt」、「Wcry」という表記もあるが、本稿では「WannaCry」とする。「Romsom.CryptXXX」の亜種とされている。  

トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏

 コンピュータがこれに感染すると、データを元に戻すためとして身代金を要求する画面が表示され、データの暗号化とファイル拡張子が「WNCRYT」に変更されるなどの不正プログラムが実行される。身代金は300米ドル(約3万4000円)、ビットコインで支払うように指定される。感染するとデータが暗号化されてしまうため、コンピュータが実質的に使えなくなる。  

 日本時間の5月13日から世界各地で被害が報告されている。BBCなどによるとイギリスではNHS(国民保健サービス)関連の情報システムがダウンし、複数の病院で急患対応や手術が不能となり、ドイツではドイツ鉄道の駅にある行先案内の電光掲示板が表示不能となるなどの影響が出ている。  

 トレンドマイクロが5月15日16時までに集計したところによると、日本国内からの問い合わせ件数は法人と個人合わせて175件、実際に被害が生じたのは9件。カスペルスキーのブログによると、同社は攻撃初日だけで74カ国で「WannaCry」を観測したと報告している。  

画面:WannaCryが表示する脅迫文

 このランサムウェアはSMB(Server Message Block)の脆弱性「MS17-010 エクスプロイト」を使う。ネットワーク経由で侵入し、脆弱なシステムを探索して感染を広めるというワーム機能を搭載している。もともとこの脆弱性はアメリカのNSA(米国家安全保障局)が使用していたツールがハッカー集団に窃取されたことで明るみに出たと言われている。  

 トレンドマイクロの岡本氏は「一般的にマルウェアはメールやWebページで何かをクリックするなど、何らかのユーザー操作を必要とするものが多いのですが、これはユーザー操作がなくても拡散できるのが特徴です」と話す。感染力が高いということだ。  

 もしインターネットに接続していて、MS17-010のパッチを適用してなくて、SMBが使うTCP 445番ポートが開いているコンピュータだと感染してしまう可能性がある。ただし実際にこの条件に当てはまるコンピュータはそう多くないと見られている。現時点ではOSやセキュリティ製品を最新の状態にしていれば、被害に遭うことはまずないはずだ。なおイギリスのテレグラフによると、NHSで感染が拡大したのは業務で使うパソコンにWindows XPが使われていたためだという。脆弱性を抱えた古いシステムが被害を被っている。  

 マイクロソフトのブログにはマイクロソフト製品のユーザーがやるべきアクションが案内されている。何よりも「MS17-010」セキュリティパッチを適用することが重要だ。今回は例外的に、すでにサポートが終了しているWindows XP、Windows 8、Windows Server 2003についてもセキュリティ更新プログラムが公開されている。

マイクロソフトの日本セキュリティチームのブログ 「ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

 ほかにもマルウェア対策製品(アンチウィルスやエンドポイント製品など)を最新版に更新しておくことも大事だ。念のため手動でスキャンを実施しておくのもいいだろう。一定の時間や条件で自動実行されるスキャンを待たずに手動で実施するということ。  

 また、SMBv1の無効化またはルーターやファイアウォールでTCP 445番ポートをブロックするのも1つの手だが、ファイル共有などの機能が使えなくなる可能性があるのと、攻撃手法が進化すればこの対策が万全とはいえない。OSのアップデートを優先したほうがいい。  

 海外報道などによると、イギリスの「MalwareTech」と名乗るセキュリティ分析を行うブロガーらがこのランサムウェアが使うドメインを取得してシンクホール化したことで、ランサムウェアの活動を一時的に食い止めることができた。しかし現在は別のドメインを使うものに変わってしまっているという。収束までこうした攻防は続きそうだ。  

 今回のランサムウェアは感染力が高いものの、OSやセキュリティ製品を最新版にしておけばそんなに恐れる必要はない。また万が一のために、重要なデータはバックアップしておくことも普段から心がけるようにしよう。

 



著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Press

もっと読む

この記事もオススメ

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5