日立、JR東も感染したランサムウェア「WannaCry」とは? 侵入経路から感染対策まで

WannaCry感染画面

WannaCry感染時に表示されるウィンドウ。

世界各国で感染が広がるランサムウェア「WannaCry」の被害が国内でも確認されはじめた。日立は、感染によって社内システムの一部に不具合が発生し、メール送受信などができなくなっていたことが5月15日までにわかっている。

セキュリティ企業のトレンドマイクロは5月15日時点で9件の被害報告が寄せられており、今後の被害拡大には注意が必要だ。以下、トレンドマイクロが実施したランサムウェアの注意喚起記者会見で説明された「実際の感染プロセス」のスライドを交えて、WannaCryについて解説していこう。

添付による攻撃はなし

WannaCry(WannaCrypt、 WannaCry、 WannaCryptor、Wcry などとも)は、Windowsのネットワーク共有機能に存在する脆弱性を悪用して感染を広げる。感染するとPC内のOfficeファイルなど166種類のファイルを暗号化して使用不可能にして、それを再び利用可能にするために金銭を要求するた、ランサムウェア(ランサム=身代金)と呼ばれる。要求される金額は300ドルで、支払いをしないと一定時間後には要求金額が倍に増額され、さらに支払いをしないとファイルを削除する仕組みになっている。

先週末から世界的に感染を拡大し、英国の医療機関や自動車工場、ロシアの銀行、スペインの通信企業、ドイツの鉄道など、さまざまな機関で感染が広がった。トレンドマイクロの観測では、英国、台湾、チリ、米国、インド、そして日本といった世界各地でWannaCryの活動を確認しているという。

攻撃手法としては、Windowsのネットワーク共有機能を悪用してPC内に侵入し、マルウェア本体をダウンロードしてファイルの暗号化を行う。脆弱性を利用するためユーザーがマルウェアをダブルクリックして実行する、といった操作をしなくても、ネットワークに接続しているだけで感染してしまう。

WannaCryの動作プロセス。

WannaCryは脆弱性を悪用してPCに侵入。不正プログラムをダウンロードして実行してファイルを暗号化する。

感染するとファイルが暗号化されて使えなくなるため、業務に支障が出る可能性がある。WannaCryは一部のファイルを復号化できる「お試し」機能があり、この機能は実際に正常に動作して復号化が可能だということで、金銭を支払えば復旧できる可能性もある。しかし、トレンドマイクロでは実際に金銭を支払っても、すべてのファイルが復旧できるかどうかの確証はないとしている。

WannaCryの日本語画面

脅迫文は自動翻訳機能を使った多言語対応で、28言語に対応している。日本語もターゲットだ。

WannaCryの英語画面

こちらは英語版の画面。

ランサムウェアの攻撃は、メールに攻撃ファイルを添付して無差別に送信する手法が多いが、トレンドマイクロによれば、WannaCryの主な侵入経路はネットワーク経由であり、メール添付による攻撃は観測されていないという。

「WannaCry」に感染するとこうなる

WannaCryが感染前の画像

感染プロセスのデモ。これらの画像ファイルが……。

WannaCryに感染してしまうとこうなる

WannaCryに感染してしまうとこうなる。暗号化されてしまい、内容が読めなくなる(これは実際のWannaCryを使って実演されている)。

07

脅迫文が表示され、このウィンドウを閉じてもしばらくすると再び表示される。

08

デスクトップの壁紙も書き換えられて「あなたの重要ファイルは暗号化された」との警告が表示される。

国内の感染はなぜ広がったのか

WannaCryは、感染したPCが社内LANなどに接続されていればネットワーク内のほかのPCを検索し、同じ脆弱性があれば感染を広げるワーム機能を備えており、社内PCが一斉に感染する危険性がある。

ただ、企業などでは通常はルーターを使い、インターネットに向けてネットワーク共有機能を開放しておらず、そのままではインターネット経由での感染は広がらない。それにも関わらず感染が拡大していることについて、トレンドマイクロでは"社外に持ち出したPCがインターネットに接続した際に感染し、それを社内に持ち帰ってLANに接続したことで感染拡大に繋がった"とみている。

ネットワーク経由で感染を拡大する、いわゆるワームは、2000年代前半に流行した悪意あるソフトウェア(マルウェアだ)が、最近はほとんど見られなくなっている。爆発的に感染を拡大する危険性もあるが、今回はネットワーク共有機能の脆弱性を悪用するため、インターネット経由での感染が広がらず、実際の被害はそれほど多くはない。

トレンドマイクロに寄せられた相談件数は15日16時までの段階で175件で、感染報告は9件にとどまった。WannaCryの性質上、同社自身は「被害がゼロ件に収まることも予測していた」としており、むしろ被害が思ったより拡大したという認識だ。とはいえ、攻撃ファイルをメールに添付する形で大量送信する攻撃が行われる危険性もあり、トレンドマイクロでは今後の攻撃拡大に注意を促している。

いますぐできるWannaCryの対策

感染しないための対策としては、Windowsの脆弱性を解消するための修正プログラムを適用し、OSを最新の状態に保ち、ウイルス対策ソフトのパターンファイルも更新すること。不審なメールに添付されたファイルは実行しないなどが必要。感染しても復旧できるように、特に重要なファイルなどはバックアップを取っておくと安全性が向上する。

(撮影:小山安博)


小山安博:Webニュース媒体の編集記者を経て、フリーランスのテクニカルライターとして活動中。専門はセキュリティ、デジカメ、携帯電話など。海外を含めた取材記事、レビュー記事を中心に執筆している。

ソーシャルメディアでも最新のビジネス情報をいち早く配信中

BUSINESS INSIDER JAPAN PRESS RELEASE - 取材の依頼などはこちらから送付して下さい