世界で急激に感染が拡大したランサムウェア「WannaCry」

5月12日、新たなランサムウェア「WannaCry（別名：WannaCrypt、Wanna Cryptor、WannaCryptor、Wcry）」の活動が活発化し、翌5月13日には欧州、北米、中米、南米、アジア、豪州、アフリカ、日本など104の国と地域で12万6千件以上の事象が検知されました。日本はちょうど週末にあたりましたが、週が明けた5月15日からは国内でも1万6千件以上の事象を検知し、感染被害も報告されました。

このランサムウェアは2017年2月に最初のバージョンが発見されており、今回の大規模感染は「バージョン2.0」でした。主にロシアや東欧、台湾をターゲットとしていますが、中国の教育機関やフランスのルノー工場、スペインの通信事業者、イギリスの医療機関や日産の工場、インドネシアの工場などが被害を受け、業務停止も発生しました。

しかし、WannaCryの感染手法は明らかにされておらず、多くのセキュリティベンダーはメールおよび添付ファイルへの注意と、データのバックアップを呼びかけていました。ただし、WannaCryが「Microsoft Windows SMB サーバー」の脆弱性を悪用していることは、早期から確認されていました。

この脆弱性は、マイクロソフト社が2017年3月15日に「MS17-010」Microsoft Windows SMB サーバー用のセキュリティ更新プログラム（4013389：CVE-2017-0144）」として脆弱性の修正プログラムを公表しています。

「WannaCry 2.0」が当初ターゲットとしていた国や地域（出典：Avast）

SMBの脆弱性を悪用し、マクロ的に感染を拡大

WannaCryが感染に利用した脆弱性MS17-010は、もともと米国の国家安全保障局（NSA：National Security Agency）が情報収集のために開発したエクスプロイト（攻撃コード）であるとされています。このエクスプロイトは2017年4月にハッカー集団「Shadow Brokers」が盗み出したとして、ネット上で買い手を募っていました。しかし結局は買い手が付かず、Shadow Brokersはエクスプロイトを無料で公開しました。WannaCryは、このエクスプロイトを入手し、利用したとみられます。

またWannaCryを解析した結果、北朝鮮のハッカーがよく使用するツールの痕跡が見つかったとされています。このことから、朝鮮半島を取り巻く情勢によりミサイルを複数回にわたって発射せざるを得なくなった同国が、資金調達のためにWannaCryを作成、拡散させたとみる向きもあります。

その後の調査により、WannaCryの感染手法が明らかになりました。悪用されるMS17-010の脆弱性は、SMBに存在するものです。SMBはファイル共有に使用されるプロトコルで、Windowsをはじめ多くのOSに実装されています。実際の感染は、WannaCryがまずグローバルおよびローカルで無作為なIPアドレスをスキャンし、SMBが使用するポート445を経由して、MS17-010の脆弱性が存在する端末を探します。該当する端末を発見すると、バックドアをインストールし、WannaCry本体を感染させます。

つまり、WannaCryは従来のランサムウェアのようにメールの添付ファイルやメール本文にあるURLリンクをクリックさせることで感染させるのではなく、MS17-010の脆弱性が存在し、グローバルIPアドレスが割り振られて、なおかつSMBポート（445）が開いていれば、自動的に感染する可能性があります。これは、かつて不正メールの大量送信に使われたマクロウイルスの動作に近いと言えるでしょう。

「WannaCry」の感染手法

どうすれば「WannaCry」の感染を防げるか

世界同時多発的に発生したWannaCryは、衝撃をもって受け止められました。マイクロソフトも6月13日、すでにサポートが終了している「Windows XP」や「Windows Server 2003」向けにまで例外的な修正プログラムを公開しています。ただしセキュリティベンダーによる調査報告では、実際に感染したPCは「Windows 7」が98％を占めていました。

WannaCryは基本的にMS17-010の脆弱性を悪用するため、マイクロソフトの修正プログラムを適用していれば感染することはありません。この調査報告は、ほとんどの企業や組織でマイクロソフトの修正プログラムが適用されていたことを意味します。

企業や組織で使用されるWindows 7端末は、特定の業界や業種において専用のアプリケーションがWindows 7以降に対応しておらず、やむを得ず使用し続けているケースが多いと言います。今後はこうした古いバージョンのOSを搭載するPCのセキュリティ対策も重視するべきでしょう。

具体的な対策としては、サポート期間内にあるPCはセキュリティ修正プログラムがリリースされたら早急に適用すること。まずは脆弱性管理やパッチ管理を行うのです。またPCには直接グローバルIPアドレスを振らず、ルータなどを介してインターネットに接続するようにします。もちろんセキュリティ対策ソフトをゲートウェイとエンドポイントに導入し、最新の状態に保つことも重要です。

古いバージョンのOSを搭載するPCについては、セキュリティ対策ソフトの導入はもちろん、IPSやファイアウォールが有効な対策となります。とくにIPSでは、OSレベルの脆弱性に対応するシグネチャが自動配信される製品が多いので、WannaCryのようにOSの脆弱性を狙う攻撃を検知し、自動的に遮断することが可能です。こうした対応は、次世代ファイアウォールやUTMでも行うことができます。こうしたゲートウェイでのセキュリティ対策を見直すことも効果的と言えます。