まだ拡散を続けるランサムウェア--WannaCry
まずランサムウェア。2017年は5月に世界各地でWannaCryに感染する端末が急増したことが印象深い。WannaCryはSMBv1というプロトコルの脆弱性を悪用して拡散し、データを暗号化して身代金を要求するランサムウェアだ。2017年3月にマイクロソフトが(サポートが切れたOSにも特別に)更新プログラムを公開したものの、その約2ヶ月後には世界規模の拡散が起きてしまった。
トレンドマイクロ セキュリティエバンジェリスト 岡本 勝之氏
海外では病院や交通機関の端末が感染して社会生活に影響があったものの、日本ではさほど深刻な被害がなかったためか、話題としては比較的すぐに沈静化した。ただし、WannaCryはまだ拡散を続けている。日本における検出台数は2017年5月が3100件で2017年11月が1900件。減っているものの、根絶には至らず、秋ごろに日本企業で被害報告もあったほどだ。海外の検出台数は2017年5月が30,900件で、2017年11月が51,700件。海外はむしろ増加の一途。
ランサムウェア「WannaCry」の検出台数推移(2017年5月~11月)2017年12月 トレンドマイクロによる調査
出所:トレンドマイクロ[クリックすると画面拡大]
トレンドマイクロの調査によると、SMBv1で使用するポート445をインターネットで露出している機器台数は2017年5月では日本が約3万台で全世界が約51万台、12月になると日本が約5万台で全世界が約63万台。WannaCryはSMBv1の脆弱性に対応したパッチを適用すれば感染が防げるので対策としてはそう難しくない。にも関わらず、標的となりうる端末が増え続けているという状態だ。
背景には複数の課題が浮き上がる。SMBv1を使うレガシーシステムが手放せない環境もまだ残る。理解不足やミスなど人間に絡む問題もある。「うちはクローズドな環境だから大丈夫」と安心しつつも本当はクローズドではなかった場合もある。認識不足やオペレーションミス、あるいはセキュリティポリシーが徹底されていないなど。組織内で脆弱性の把握や更新が迅速に行えないなどプロセスにも課題がある。
