緊急解説! 被害急拡大中のランサムウエア「WannaCry」ワーム活動を伴う大規模攻撃が特徴
脆弱性修正とバックアップ整備が必須

猛威を振るう「WannaCry」

ここ数日、身代金要求型不正プログラム「ランサムウエア(*1)」による大規模なサイバー攻撃の被害が急拡大しているというニュースが新聞紙上などを賑わせました。報道によると、その被害はイギリスを中心に少なくとも世界150カ国で20万件に及んでいるとのこと。経済産業省が管轄する独立行政法人・情報処理推進機構(IPA)が緊急記者会見を行い企業などに週明けの注意喚起を促すなど、騒然としました。
(*1)PC自体やPC内のデータ、同一ネットワーク内のデータを使用不能(暗号化など)にし、その復旧と引き換えに「身代金」を要求する不正プログラム

そうした中、トレンドマイクロが5月15日に今回の被害を拡大させた身代金要求型不正プログラムであるランサムウエア「WannaCry(ワナクライ)」の緊急解説セミナーを開催。国内の被害状況や対策について解説しました。

今回、世界中に感染被害をもたらしたランサムウエアはWannaCryと呼ばれる不正プログラムです。様々な呼称があるとのことですが、トレンドマイクロではワナクライと呼んでいます。セミナー冒頭で、日本時間の5月13日頃から世界的な拡散したWannaCryによる被害状況を概括。トレンドマイクロが把握した範囲では、日本国内で同社に寄せられた問い合わせ件数は175件、このうち実際に被害が報告されたのは9件(5月12日~5月15日16:00までの集計数値)とのことです。

また、従来の事務系システムにとどまらず、「生産ラインが止まる」「掲示システムが動作しない」など、病院や工場、鉄道といった特定業種でも被害が報告されています。

●世界各地で広がる「WannaCry」の被害状況

ワーム活動によりネットワーク経由で拡散

WannaCryは、マイクロソフトの基本ソフト(OS)であるWindowsのネットワーク共有機能の脆弱性を狙うランサムウエアで、2017年の2月に初検出。4月にはオンラインストレージサービスのDropboxを悪用した拡散が確認されています。いずれも、それほど大きな被害には至らなかったようです。

しかし、今回の攻撃に使われたWannaCryの最大の特徴は、「ワーム活動を伴いインターネット経由で拡散する」(トレンドマイクロ・セキュリティエバンジェリストの岡本勝之氏)こと。ワームは自己増殖により複製を作り出し、ネットワーク上の脆弱性を探して感染していきます。WannaCryは、このワームと連携することで被害を広げたというわけです。しかも、その活動は同一ネットワーク(LAN)内にとどまらず、インターネットを介して外側(WAN)にも広がったと見られています。

ただし、「日本の場合はワームだけで感染が広がるとは考えにくい」と岡本氏は指摘しています。この背景には、外国と日本とのネットワーク環境の違いがあるとのこと。「海外ではLANがWAN側にダイレクトにつながっていることも多いが、日本ではLANとWANの間にルーターが設置されていること一般的で、企業などではファイアウォールの活用率も高い。また、ワームに対してはセキュリティソフトが効くはず」(岡本氏)だからです。

それでも、サポート切れの古いOSを搭載した端末やセキュリティ更新プログラム(OSのセキュリティ更新プログラムは2017年3月に公開)を適用していない端末などは、感染リスクが高いと指摘しています。

●被害拡大中の「WannaCry」とは
●ランサムウエア「WannaCry」の特徴
●「WannaCry」の攻撃の流れ

「WannaCry」の動作デモ

セミナーでは、WannaCryに感染した端末では何が起きるのか、動作デモも公開されました。画面上のWannaCry実行ファイルをクリックすると、ものの数秒でファイルは暗号化。拡張子から暗号化するファイルを判断する仕組みで、現在はOfficeファイルやデータベースなど166種類が標的とされています。

暗号化後、身代金を要求する警告ウインドウがポップアップ表示。脅迫文は多言語に対応しており、日本語も含めて28言語にもなります。

警告ウインドウは閉じることはできますが、すぐにポップアップにより再表示されることに加え、壁紙も改ざんされていました。最近の傾向として、身代金はビットコイン(仮想通貨)での支払いを要求されます。

●暗号化されたjpegファイル
●暗号化された後にポップアップ表示された脅迫ウインドウ
●壁紙も改ざんされ、脅迫文が表示された

求められる対策

WannaCryの被害を防ぐ対策として、岡本氏は「Windowsセキュリティ更新プログラムの早期アップデート」や「データのバックアップ」、必要のない環境間は接続しないといった「ネットワークのセグメント化」を提示。データについては「分類」を行い、重要度の高いものから優先的に対策を講じるように指摘しました。

いまだにXPなどのサポートが切れたPCを使っている事業者もあるようですが、リプレイスなり完全なオフラインでのみ活用するなど早急に対策を講じることが必要です。

また、「セキュリティ対策製品の導入」も紹介。ウイルス対策だけでなく、総合的なセキュリティ機能を搭載したもの選ぶことが重要としています。

●ユーザー側で求められる対策

ランサムウエアに限ったことではありませんが、サイバー攻撃は日々進化や巧妙化しています。今年の5月30日には改正個人情報保護法も施行されることもあり、いま一度しっかりとしたセキュリティ対策を検討してみる必要がありそうです。(長谷川丈一)