今回、世界各地で被害が報告されているランサムウェアは、「WannaCry」のほかにも「Wanna Cryptor」、「WannaCrypt」、「Wcry」という表記もあるが、本稿では「WannaCry」とする。「Romsom.CryptXXX」の亜種とされている。
トレンドマイクロ セキュリティエバンジェリスト 岡本勝之氏
コンピュータがこれに感染すると、データを元に戻すためとして身代金を要求する画面が表示され、データの暗号化とファイル拡張子が「WNCRYT」に変更されるなどの不正プログラムが実行される。身代金は300米ドル(約3万4000円)、ビットコインで支払うように指定される。感染するとデータが暗号化されてしまうため、コンピュータが実質的に使えなくなる。
日本時間の5月13日から世界各地で被害が報告されている。BBCなどによるとイギリスではNHS(国民保健サービス)関連の情報システムがダウンし、複数の病院で急患対応や手術が不能となり、ドイツではドイツ鉄道の駅にある行先案内の電光掲示板が表示不能となるなどの影響が出ている。
トレンドマイクロが5月15日16時までに集計したところによると、日本国内からの問い合わせ件数は法人と個人合わせて175件、実際に被害が生じたのは9件。カスペルスキーのブログによると、同社は攻撃初日だけで74カ国で「WannaCry」を観測したと報告している。
画面:WannaCryが表示する脅迫文
このランサムウェアはSMB(Server Message Block)の脆弱性「MS17-010 エクスプロイト」を使う。ネットワーク経由で侵入し、脆弱なシステムを探索して感染を広めるというワーム機能を搭載している。もともとこの脆弱性はアメリカのNSA(米国家安全保障局)が使用していたツールがハッカー集団に窃取されたことで明るみに出たと言われている。
トレンドマイクロの岡本氏は「一般的にマルウェアはメールやWebページで何かをクリックするなど、何らかのユーザー操作を必要とするものが多いのですが、これはユーザー操作がなくても拡散できるのが特徴です」と話す。感染力が高いということだ。
もしインターネットに接続していて、MS17-010のパッチを適用してなくて、SMBが使うTCP 445番ポートが開いているコンピュータだと感染してしまう可能性がある。ただし実際にこの条件に当てはまるコンピュータはそう多くないと見られている。現時点ではOSやセキュリティ製品を最新の状態にしていれば、被害に遭うことはまずないはずだ。なおイギリスのテレグラフによると、NHSで感染が拡大したのは業務で使うパソコンにWindows XPが使われていたためだという。脆弱性を抱えた古いシステムが被害を被っている。
マイクロソフトのブログにはマイクロソフト製品のユーザーがやるべきアクションが案内されている。何よりも「MS17-010」セキュリティパッチを適用することが重要だ。今回は例外的に、すでにサポートが終了しているWindows XP、Windows 8、Windows Server 2003についてもセキュリティ更新プログラムが公開されている。
ほかにもマルウェア対策製品(アンチウィルスやエンドポイント製品など)を最新版に更新しておくことも大事だ。念のため手動でスキャンを実施しておくのもいいだろう。一定の時間や条件で自動実行されるスキャンを待たずに手動で実施するということ。
また、SMBv1の無効化またはルーターやファイアウォールでTCP 445番ポートをブロックするのも1つの手だが、ファイル共有などの機能が使えなくなる可能性があるのと、攻撃手法が進化すればこの対策が万全とはいえない。OSのアップデートを優先したほうがいい。
海外報道などによると、イギリスの「MalwareTech」と名乗るセキュリティ分析を行うブロガーらがこのランサムウェアが使うドメインを取得してシンクホール化したことで、ランサムウェアの活動を一時的に食い止めることができた。しかし現在は別のドメインを使うものに変わってしまっているという。収束までこうした攻防は続きそうだ。
今回のランサムウェアは感染力が高いものの、OSやセキュリティ製品を最新版にしておけばそんなに恐れる必要はない。また万が一のために、重要なデータはバックアップしておくことも普段から心がけるようにしよう。
