[緊急企画]ランサムウェア｢WannaCry｣実際に感染してみた —— 対策もチェック

先週金曜日からイギリス・スペインなど全世界で大流行しているランサムウェア・WannaCry（ワナクライ）。日本でも15日月曜日から続々と被害が報告されている。

ランサムウェアとはコンピュータウイルスの一種で｢身代金要求型ウイルス｣とも言われている。今回のランサムウェア・WannaCryでは、パソコンのファイルを暗号化して読めなくし｢元に戻すには300ドル払え｣と脅してくるものだ。WannaCryをテスト実行するデモを、ソフトバンク・テクノロジーのセキュリティリサーチャー・辻伸弘さんに見せてもらった。安全な仮想環境でテストとして動作させている。

ランサムウェア｢WannaCry｣に感染させてみる

辻さん｢仮想環境で入手した検体（ウイルスのサンプル）を動かしてみます。実行すると1分ほどで壁紙が変わります。｣

ランサムウェアをダブルクリックして1分弱（環境によって時間は異なる）、Windowsの壁紙が突然、黒に変わった。黒バックに赤の大きな文字で｢Ooops, your important files are encrypted（あなたの重要なファイルは暗号化された）｣と書かれている。

その次に出てくるのがランサムウェアの脅迫文だ。なんと日本語（！）で、｢私のコンピュータに何が起こったのですか？｣｢ファイルを回復できますか？｣などの見出しで、暗号化したこと、戻すためには300ドルを払う必要があること、3日経つと2倍の600ドルになること、7日間支払いがないと二度と回復できなくなること、などの脅迫文が表示されている。

日本語で書かれているのは、ランサムウェア側で感染したPCの言語環境をチェックして、自動的に表示言語を選択しているためだ。辻さんによれば｢28カ国語の言語ファイルが用意されており、実行時にPC環境に合わせて言語を変えている｣とのことだ。

そして左側にはカウントダウンタイマーが表示されている。2倍になるまで3日間のタイマーと、ファイルが失われるまでの7日間のタイマーだ。金を払えと脅すためのビジュアルである。データに対する身代金は、ビットコインで払えと表示されている。ランサムウェアの身代金支払いにビットコインがよく使われているのは、匿名性の高い通貨であるためだ。

辻さん｢仮想環境に入れたテスト用のファイルを見てみます。ご覧の通り、画像・テキスト・オフィスなどのファイルの拡張子（ファイルを表す末尾の文字）が『.WNCRY』というものに変わりました。すべて暗号化されてしまったわけです。テキストファイルをエディターで開いても、文字化けした内容が見えるだけです。WannaCryでは文書・動画・画像など166種類のファイルを暗号化しています｣。

脅迫に屈してすでに身代金を払った人も

現状では暗号化され読めなくなったファイルを安全に戻す方法はない。バックアップがあればそれを使い、パソコンを初期化するしかない状況だ。

脅迫に屈して、犯人側にビットコインを支払うという選択肢はある。セキュリティ会社・トレンドマイクロのテストによれば｢WannaCryにはお試しという形で、ファイルを一つだけ元に戻せる機能が入っており、これで元に戻せることは確認した｣とのこと。犯人側はファイルを元に戻せることをアピールして、身代金を払わせようという魂胆で｢無料お試し｣を用意している。

しかし相手は犯罪者なのだから、すべて元に戻せる保証はない。また金を払うと、犯罪者に加担することにもなる。そのため身代金を払うことを勧められないが、どうしても戻したいからと身代金を払った人を責めることはできないだろう。

WannaCryが流行した原因として、辻さんは｢WannaCryはWindowsの脆弱性を突いて感染するランサムウェア。インターネットを含む様々なネットワークで広がるため一気に流行している｣と述べた。

ネットワーク経由で同時多発で広がる｢ワーム｣型感染

WannaCryが一気に大流行した理由は、感染の方法にある。今までのランサムウェアの多くは、メール添付ファイルを開いたり、不正なウェブサイトに誘導されての感染だった。つまりユーザーが何らかのアクションをしたことで感染していたのだが、今回のWannaCryは、ユーザーの操作なしで感染を広げる｢ワーム｣である。

ワームとは自分自身を複製でき、拡散するプログラムのこと。生物のように動くウイルスと考えてもいいだろう。

WannaCryは、パソコンやサーバーに残っていセキュリティホール＝脆弱性を突き、自動的に拡散していくしくみだ。具体的にはWindowsのMS17-010という脆弱性があるサーバー・パソコンで感染を広げる。この脆弱性は、ファイル共有のしくみ（SMBv1と呼ばれる通信プロトコル）にあり、プリンターの共有やファイル共有で使われている。これが残った状態で、かつインターネットに特定の条件の下で接続したままでいると、外部からの攻撃で侵入されてWannaCryに感染してしまう。同時に社内などのネットワークでも感染を広げる。

トレンドマイクロのセキュリティエバンジェリスト・岡本勝之氏は｢WannaCryはインターネットを含むネットワークによって脆弱性のあるサーバーをスキャンし、そこへ感染を広げる機能を持っていると推測している｣と述べている。つまりWannaCryに感染したパソコン・サーバーが、ネットワークで自動的に感染を広げていくと考えてもいいだろう。

とはいえ、すべてのパソコン・サーバーがやられるわけではない。

少し専門的な話になってしまうが、脆弱性が残り、かつパソコンの接続ポート（ポート番号445）が開いた状態で、ネットに直接接続している（グローバルIPアドレスを持っている）パソコン・サーバーが被害に遭う可能性がある。岡本氏は｢これはかなりセキュリティの甘い状況であり、一般の企業や個人では考えにくい。ほとんどの個人はルーターを使っているから、被害には遭わないだろう｣と述べている。

しかし現実として、日本でもこれだけ被害が出ているのだから、その特殊な状況のパソコン・サーバーがあったことになる。岡本氏は｢外部で感染したパソコンを、社内ネットワークに持ち込んだなどの原因があるかもしれない｣と述べた。筆者の推測では、ファイル共有などのために外部に開放していたパソコンがやられた可能性があると考えている。

対策はWindowsアップデートと企業内外のネット総点検

WannaCryへの対策としては、以下の3つがあげられる。

1. ネット接続の総点検： ルーターなしで直接ネットに接続しているパソコンはないか確認。直接つないでいるものがあれば、ポート開放の状況などを確認し、ウイルスチェックを必ず行う。
2. Windowsアップデートを行う： 脆弱性を解消するため、Windowsアップデートを行う。今回は特例として、サポートが終了しているWindows XP・Vistaについてもアップデートが配布されている（もっともXPとVistaは危険なので、そもそも今後使うべきではない） 。
3. ウイルス対策ソフトを最新パターンファイルに： ウイルス対策ソフト・セキュリティー対策ソフトを最新版にして、かつパターンファイルを最新版にすること（自動更新を推奨）。

詳しい対策は、企業向けセキュリティ大手LACの注意喚起、トレンドマイクロの注意喚起を参考にしてほしい。

特に企業の担当者に呼びかけたいのは、あらゆるネット接続機器の総点検だ。メインとして動いているネットワークは、ファイアウォールなどセキュリティ対策があるので大丈夫だろうが、コピー複合機・特定部署のファイルサーバーなどメインのネットワークから外れた部署にある機器・パソコンに注意をしてほしい。Windowsアップデートなしで使っていないか、ネットに直接繋いでいないかなどを確かめて対策をすべきだ。

三上洋：セキュリティ、スマホ料金、ネット事件が専門のITジャーナリスト。テレビ・ラジオでの解説も多い。フジテレビ・バイキング準レギュラー。