ここから本文です

<身代金ウイルス>旧型ウィンドウズの「弱点」突く

毎日新聞 5/17(水) 0:15配信

 世界規模でコンピューターウイルスの「WannaCry(ワナ・クライ)」による攻撃が相次いだ問題。感染した端末のファイルを暗号化し、「元に戻すには金銭をよこせ」と求める「身代金要求型ウイルス」だ。感染経路は複数あるとされ、現在は、病院や交通機関など、運用が止まると影響が大きい企業や組織での被害が目立つ。ただ、インフラ関連が主に狙われたかどうかは専門家の間で意見が分かれている。【岡礼子】

 ◇ウィンドウズの一部に感染の危険

 ワナ・クライに感染する危険があるのは、米マイクロソフト(MS)の基本ソフト(OS)ウィンドウズを搭載しているパソコンやサーバー。

 MSによると、ウィンドウズの最新版「10」は、今回、ワナ・クライが利用したセキュリティー上の弱点(ぜい弱性)がないため対象外。それ以前の「7」などのうち、MSが3月に配布した「ぜい弱性修正パッチ」を適用していない機器が狙われた。

 対象機器には、MSが既にサポートを停止している「XP」搭載パソコンや、企業内で使われている業務用システムも含まれる。

 ウイルスを感染させるには、メールに添付されたファイルやURLをクリックさせる方法などが使われた。メールのタイトルには、「invoice」「仕様書」などが使われている。取引先など、それまでにメールを送受信したことがあるアドレスを装っているケースもある。

 ◇メール、社内LANのほか、ネットからも侵入

 ぜい弱性があったのは、「SMB(サーバー・メッセージ・ブロック)」と呼ばれるウィンドウズの通信規格。企業などの社内LANネットワークで、複数のパソコンの間でファイルを共有するのに使われている。つまり、ワナ・クライに感染した端末が1台、社内LANにつながると、そのLAN内の他の端末も感染の危険にさらされる。

 また、この通信規格は、社内LANだけでなく、インターネットで他のパソコンやサーバーとファイルを共有する場合にも使われる。このため、個人のパソコンでも、ネット上の他のパソコンやサーバーから感染する可能性があった。

 ネットセキュリティーの専門家の間では、今回、ワナ・クライによる感染が短期間にこれほど大規模に広がったのは、このネットでのファイル共有機能を経由して感染する機能があったためと指摘する声もある。

 MSが修正パッチを公表したのは3月。ただ、企業の業務システムは、MSの修正パッチを適用すると、業務システムの他の部分にも影響が出る。医療や交通機関などは、システムを止めて作業を行うことが難しく、OSやセキュリティープログラムの更新に時間がかかるケースも多いとみられる。さらに、ウィンドウズのファイル共有機能を使って、インターネットから業務に必要なデータを自動的にダウンロードしているにもかかわらず、担当者がシステムの仕様を知らない場合もあるという。

 情報セキュリティー会社に今回のワナ・クライの特徴を聞いてみた。

 サイバーディフェンス研究所の名和利男分析官は「ここ数年、サイバー攻撃のターゲットは変わってきており、『身代金』を払いそうな重要なシステムを抱える企業が狙われる傾向がある。今回も同じだ」と指摘し、「対応に時間をかけられなかったり、リアルタイムでデータを動かしていて、バックアップ(複製)が難しい企業などのリストが出回っているのではないか」と懸念する。

 一方、セキュリティー会社、ラックの賀川亮アナリストは「無差別に攻撃した結果、修正プログラムを適用していなかった病院や交通機関が被害にあったのではないか」とみる。ワナ・クライの特徴は、ファイル共有機能を通じて自動的に増殖することだが、拡散によって被害が顕在化するのも早まった。セキュリティー各社も警鐘を鳴らしたため、「身代金」の支払いが抑制された可能性があるからだ。「攻撃を効率化したつもりかもしれないが、狙い通りにはいかなかったとも考えられる」と賀川アナリストは分析する。

 ◇感染端末はネットワークから切り離して保存を

 ワナ・クライの感染を防ぐには、MSの修正パッチを当てたり、セキュリティーソフトの最新版を使えばよい。また、家庭のパソコンは、ネット回線に接続するルーターを使っているケースが多く、約10年以内に発売されたルーターでは、今回のファイル共有機能を利用した侵入は、原則としてできないという。ただ、外出先などで、パソコンをスマートフォンの「テザリング機能」で使ってネットに接続している場合、通信業者によっては、パソコンに感染される可能性があるという。

 専門家によると、危険なのは、通信会社がテザリングに「グローバルIP」という接続先のわかる固有の識別番号を使っている場合だ。自分のスマホの設定がどうなっているかは、契約している通信会社に問い合わせをしてほしい。

 感染した場合、まず端末はネットワークから切り離し、他端末への連鎖感染を防ぐことが必要になる。では、感染端末の暗号化されたファイルは復元できるのか。賀川アナリストは「データを元に戻せる『復号キー(鍵)』が判明する可能性もあるため、感染した端末をネットワークから切り離し、保存しておく」ことを勧めている。

 16日現在、日本国内の被害の報告は、英国などに比べ、多くはないようだ。これについて、セキュリティー会社のマカフィーは「日本ではグローバルIPの利用が少ないからではないか」とみる。一方、サイバーディフェンス研究所の名和分析官は「日本で感染が少ないように見えるのは、中小企業が多く、被害が表面化していないためではないか」と話している。

最終更新:5/17(水) 0:52

毎日新聞