ここから本文です

「WannaCry」騒動とは何だったのか? 感染理由とその対策

ITmedia NEWS 5/17(水) 16:48配信

 2017年5月、また「ランサムウェア」が猛威をふるいました。私たちの写真や仕事の書類など、大事な「データ」を暗号化して人質にし、その回復への対価として金銭(仮想通貨のビットコイン)を要求するという、大変狡猾(こうかつ)な仕組みです。

【画像:WannaCryの活動イメージ】

 「WannaCry」(WannaCrypt、WannaCryptor)などと呼ばれる今回のマルウェアは、いくつかの特徴があるために大変大きく取りあげられました。欧州圏では病院が感染被害に遭い、手術や治療ができなくなりました。日本においても日立、JR東日本などが感染被害にあっており、街中のデジタルサイネージも感染したというTwitter投稿があります。

 今回話題となった「WannaCry」とは一体なのか。個人でできる対策も含めてまとめてみました。

●そもそもWannaCryとは? 何が問題だったのか

 そもそも、WannaCryとは何なのでしょうか。このマルウェアは「ランサムウェア」と呼ばれるタイプのもので、感染するとPC内に入っている.jpg、.mp3、.pptx、.docx、.xlsxなどの主要な拡張子を持つファイルを暗号化します。

 暗号化を解除するためには、指定されたアドレスに対しビットコインを支払うよう指示されます。このように、感染者に対し直接金銭を要求するのが、ランサムウェアの特徴です。

 トレンドマイクロによると、日本国内でも多数の攻撃が観測されており、2017年5月7日午前9時から 5月16日午後9時までの9日間で、合計1万6436件の攻撃を確認しているとのことです。

●どうやって感染するのか?

 WannaCryは、Windowsの「脆弱(ぜいじゃく)性」を利用し、感染します。脆弱性とはプログラムの「一撃必殺の弱点」です。WannaCryは、Windowsのファイル共有プロトコル「SMBv1」の脆弱性を利用しており、ランダムな通信先に対して攻撃の通信を送りつけ、相手を感染させます。

 通常のマルウェアは、感染させるために「メールを送りつけ、添付ファイルを利用者に“クリックさせる”」ことや、「Webサイトに不正なコンテンツを埋め込み、利用者に“クリックさせる”」ことが必要でした。

 ところが、WannaCryの感染は脆弱性を利用し、利用者が何もアクションを起こすことなく感染させられることが大きな特徴です。そのため、脆弱性が残り続けている限り、感染は止まらないのです。

 しかし、感染に利用されるSMBプロトコルは、日本においては家庭のブロードバンドルータなどでシャットアウトしていることが多く、インターネット経由では感染が難しいと考えられています。

 ただし、外部から該当のプロトコルを受け付けている場合や、ルータの内部に感染端末が何らかの方法で接続されていた場合、感染を止めるすべがない可能性があります。

 そのため、各種セキュリティ対策ソフトのアップデートを行い、端末側での防御も必要でしょう。ノートPCなど持ち運べるデバイスでは、安全が確認できないネットワークへの接続に気を付けるべきです。

●「WannaCry」の脅威から身を守るには?

 WannaCryに限らず、ランサムウェアの被害から身を守るために、下記の点が実現できているかをもう1度確認してください。

OS、アプリは速やかにアップデートを

 帰宅時を見計らったかのように実行されるWindows Update。これを適切に行った人には今回の被害は起きていないはずです。面倒くさいかもしれませんが、日々のアップデートをお忘れなく。もちろん、セキュリティ対策ソフトのアップデートも。

個人データはバックアップを 可能な限り「復元する練習」も

 ランサムウェアへの最大の防御は「バックアップ」です。もし被害に遭っても、バックアップからデータを復元できるのであれば問題ありません。ほとんどの場合、バックアップをしていても「戻す」経験がないかもしれません。戻せることが分かれば安心できるはず。ぜひ、訓練を。

感染してしまっても、落ち着いて

 今回のWannaCryに関しては、日本の個人利用PCが感染することはあまりないと思います。しかし、一般的にランサムウェアに感染したら、きっとパニックになってしまうでしょう。

 まずは落ち着いて、ネットワークからPCを外し、暗号化されてしまったファイルも消さない方がいいでしょう。身代金を払うべきかどうかは暗号化されてしまったデータの質によります。身代金を支払う前に、利用しているセキュリティ対策ソフトのサポート窓口に相談しましょう。

●“悪者”は誰か

 今回のWannaCry、実は他のマルウェア/ランサムウェアとの大きな違いは「利用者のアクションなしに感染すること」くらいです。利用者のアクションなしに感染するのは、2003年に爆発的に流行した「Blaster」(ブラスター)を思い出します。

 今回利用された脆弱性(CVE-2017-0145)は、その登場経緯が若干特殊ではあるものの、更新プログラムMS17-010は既に2017年3月15日に公開済みで、これが適用されていれば感染は行われないはずです(注:例外は後述)。

 他のマルウェアとは大きく変わらないとはいえ、WannaCryは語るべきポイントがいくつかあります。

 1つ目はその出自で、このWindowsの脆弱性は米国家安全保障局(NSA)が保持しており、Microsoftには知らされていませんでした。当然ながらMicrosoftがこの脆弱性を知っていたとしたら、修正プログラムをもっと早期に出せていたはずで、この点に関してMicrosoftはNSAを非難しています。

 しかし、その修正プログラムは、今回のWannaCryまん延の2カ月前にリリースされていました。もし被害に遭ったとしたら、その修正プログラムを適用していなかった利用者にも責任があるといえるでしょう。

 もちろん、一番悪いのはマルウェアを製作し、攻撃した者たちです。その攻撃が止まることはありません。そのため、次善の策として、私たちは「OS、アプリは速やかにアップデートを適用」し、「個人データはバックアップを取る」必要があるのです。

 WannaCryをはじめとするランサムウェアはさまざまな亜種を作り出し、また新たな攻撃を仕掛けてくるはずです。その攻撃にあわないよう、攻撃を受けても回復できるよう、ぜひ、セキュリティの基本を忘れないでください。最後に、ランサムウェアの被害に遭った方の生々しい記録を紹介します。ランサムウェアはあなたの思い出を奪います。ぜひ、1秒でも早い対策をお願いします。

(宮田健)

最終更新:5/17(水) 16:48

ITmedia NEWS