ここから本文です

ランサムウェア「WannaCry」の被害が止まらない理由

ITmedia エンタープライズ 5/16(火) 10:03配信

 2017年5月、また新たなランサムウェアの被害が明らかになりました。

 「WannaCry」「Wcry」などと名付けられているこのランサムウェアは、WindowsのMicrosoft Server Message Block 1.0(SMBv1)サーバの脆弱(ぜいじゃく)性を突いて感染し、166種類の拡張子を対象にファイルを暗号化。それらのファイルを人質に、身代金としてビットコインを要求するというものです。

【「WannaCry」に感染するとこんな画面が】

 身代金を要求するメッセージはすでに日本語化されていることが確認されており、内閣サイバーセキュリティセンター(NISC)やJPCERTコーディネーションセンター、マイクロソフトなど、日本の関連機関が注意を喚起しています。

 WannaCryが利用するSMBv1の脆弱性「MS17-010」は、既に修正パッチがリリース済みで、緊急性を鑑みたMicrosoftは、サポートが終了しているWindows XP、Windows 8およびWindows Server 2003向けにも修正パッチをリリースしました。とるべき対策が明記されているので、ぜひ、目を通してください。

 今回、攻撃が観測されているWannaCryというランサムウェアは、全世界に被害が広がっています。本原稿執筆時点(2017年5月14日)では、英国の国民保健サービス(NHS)がランサムウェアの被害によって、診察や手術を行えなくなったことが明らかになっています(ただし、これらの病院を狙った「標的型攻撃」ではなく、脆弱性が残っていた端末が多かったことが被害の原因だと考えられています)。

 Twitterを見ていると、街中のATMやデジタルサイネージなどでも、身代金を払うように促すメッセージが表示されっぱなしになっている様子が上がっています。

 このように一気に広まった理由は、恐らくその感染方法にあります。

 通常、マルウェアの感染はほとんどの場合、メールかWebサイトの閲覧といった、「利用者がクリックをする」ことがきっかけです。

 しかし、今回、利用されている脆弱性は、SMBv1が有効になっているWindows端末があれば、利用者が何もしなくても攻撃が成立してしまいます。その上、LAN内に感染した端末があると周りの端末をランダムに攻撃するので、対策は「修正パッチを適用する」か、「LAN内の攻撃を止める」くらいしかありません。こうした理由から、WannaCryは感染力が非常に強いのです。

 この「感染力の強さ」と、「被害者に直接、金銭を要求するランサムウェア」という仕組みの組み合せが、とても大きな脅威となっているのです。被害から身を守るには、バックアップをとっておく、そして修正パッチを適用するといった、セキュリティの基本を忠実にこなすことが重要です。

 もし、ランサムウェアに感染してしまった場合でも、暗号化されたファイルは消さないでおきましょう。以前、被害が拡大したランサムウェアの一部で、暗号化されたファイルを復号するツールが作成されたことがあるのです。過度な期待はできないものの、身代金を払う前にそれらの可能性を含め、どうすべきかを考えてください。

●“脆弱性対応”のタイミングが変わっている

 このSMBv1サーバの脆弱性は、米国家安全保障局(NSA)が隠し持っていたもので、それをハッカー集団、「Shadow Brokers」が盗み出し、2017年4月に公開したものの1つといわれています。

 Microsoftは、それが公開される前(2017年3月14日)に修正パッチを公開していましたが、今回、それを悪用したランサムウェアが登場し、被害を広げているのです。つまり、パッチ公開から今回の攻撃が起こるまでには「2カ月の猶予があった」ともいえます。

 この2カ月という期間は短いのでしょうか? 今回のランサムウェアとは性質が異なりますが、2017年3月に発生したGMOペイメントゲートウェイが運営する「都税クレジットカードお支払サイト」が攻撃された事例では、脆弱性が公表されてから攻撃まで、わずか2日間しか猶予はありませんでした。それでも「既知の脆弱性」になってしまうので、報告書では「開発元の提供している情報を収集して、その情報をもとに自社内でセキュリティ対策を行うべきだった」としています。

 これまで、企業のパッチ適用の考え方は、「出たら即、適用する」というものではありませんでした。多くの企業が、まず、テストを行って影響がないことを確認した上で、サービスに影響しないメンテナンスの時間を使って適用する――という方法を採っているのではないでしょうか。

 しかし、いまや攻撃者は、その時差を「ハック」して攻撃を仕掛けてきます。サーバの脆弱性を突く攻撃は、ひそかに潜入して情報漏えいを狙いますが、今回のようにクライアントの脆弱性を突く攻撃は、「ランサムウェアとして直接金銭を要求する」という手法に化け、あなたを狙ってきます。

 私たちにできる対策は、これまでこのコラムでも述べてきたように、きっちりとアップデートを行うことです。そして今では、その適用のスピードも問われるようになったわけです。そうなると、パッチが適用できない間は、何とか耐えなくてはなりません。

 さらに企業においては、パッチ適用までの時間を稼ぐため、特にサーバの脆弱性に対しては「Webアプリケーションファイアウォール」の導入も検討すべきかもしれません。もちろん、「バックアップと復元」という基本も忘れずに。

●著者紹介:宮田健(みやた・たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

最終更新:5/16(火) 10:03

ITmedia エンタープライズ