文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    ランサムウェア「WannaCry」流行の理由

     世界中を驚かせたランサムウェア「WannaCry(ワナクライ)」。一気に大流行した理由は、インターネットやLAN経由で広がる「ワーム=虫」だったためだ。虫のように自己複製して広がるランサムウェアについて、セキュリティー各社の分析をまとめる。(ITジャーナリスト・三上洋)

    日本で600か所・2000端末以上、世界で150か国・30万件以上の被害

    • ランサムウェア・WannaCryの脅迫画面。日本語で元に戻すには300ドルを払えと脅している(トレンドマイクロによる)
      ランサムウェア・WannaCryの脅迫画面。日本語で元に戻すには300ドルを払えと脅している(トレンドマイクロによる)

     同時多発のランサムウェア(身代金要求型ウイルス)としては史上最大の流行となった「WannaCry(ワナクライ)」。「WannaCry」とは「I wanna cry」、つまり「泣きたくなる」といった意味だろう。

     まさに泣きたくなるような被害が世界で広がった。日本では日立製作所、川崎市上下水道局、JR東日本高崎支社など600か所・2000端末以上が感染した(件数はJPCERT/CCによる)。全世界では150か国にも及び、30万件以上の被害が出ていると推測されている(米ホワイトハウス発表)。

     ランサムウェアとは、感染するとファイルを読めなくしたり、パソコンやスマホを起動できなくしたりして「戻すには金を払え」と脅すウイルスのこと。日本では2016年にパソコン・スマホで大きな被害が出ていた(2016年の10大事件に偽ポケモンGO、ランサムウェア:サイバー護身術)。

     上は今回のランサムウェア「WannaCry(ワナクライ)」の脅迫画面だ。日本語でファイルを暗号化したこと、戻すためには金を払え、7日以内に払わないと戻せない、などの脅迫文が書かれている。左側には、期限までのカウントダウンタイマー、下側にはビットコイン(仮想通貨)での支払い画面がある。ランサムウェアの典型的な脅迫画面だが、28か国語に対応しており、感染したパソコンの言語に合わせて脅迫文を出すようになっている(参考記事:ランサムウェア「WannaCry」実際に感染してみた-対策もチェック

     今回のランサムウェアの最大の特徴は、一気に大流行したことだ。被害が出始めたのは、日本時間で5月12日金曜日の夜。翌日には世界中で感染が報告され、週明けの15日月曜日には日本でも多数の被害がみつかっている。これほど一気に同時多発で流行したランサムウェアは初めてと言っていいだろう。

    セキュリティー各社の「WannaCry」分析。「ワーム」「脆弱性」「ビットコイン」

     同時多発の理由は、インターネット経由で感染を広げる「ワーム」だったからだ。セキュリティー各社の分析をトピックスとしてまとめておく。

    ●「暗号化・身代金要求」と「感染拡大」の2つの部品で作られていた

     WannaCryには、ランサムウェアの機能としての「暗号化・身代金要求」と、被害を広げるための「感染拡大」の2つのモジュールがあった(マルウェア解析奮闘記 WannaCryの解析:マクニカネットワークス)。

     今までのランサムウェアでは感染拡大機能はない場合が多く、感染を広げるにはメール添付ファイルや改ざんされたウェブサイトを使っていた。それに対しWannaCryには、自ら感染を広げる機能があった。WannaCryは複数のファイルで活動しており、三井物産セキュアディレクションが詳しい分析を出している(「WannaCry 2.0」の内部構造を(ひも)解く

    ●インターネットで感染先を探し自己複製する「ワーム」

     WannaCryは「ワーム」だった。ワーム(worm)とはミミズなど細長い虫のことで、コンピューターの世界では「自己複製して拡散するウイルス」のことを言う。つまりWannaCryはインターネットや社内LAN・家庭内LANを通じて、虫のように広がっていく感染機能を持っている。

     ワームは昔からあるウイルスの一種であるが、セキュリティー対策が進むにつれ少なくなっていた。最近の大流行は2008年の「DOWNAD(ダウンアド)」「Conficker(コンフィッカー)」であり、9年ぶりの大流行になる。

    ●Windowsの脆弱性=弱点を狙って感染拡大

     WannaCryは、Windowsにある脆弱(ぜいじゃく)性(攻撃されるとマルウェアの感染の原因ともなる穴・欠陥)を利用して感染を広げる。具体的にはマイクロソフトが3月に出したアップデート「MS17-010」に含まれる脆弱性を利用している。この脆弱性はパソコン間のファイル共有やプリンター共有などのしくみにあるものだ(ランサムウェアWannaCryに関するさらなる分析:マカフィー)。

    ●「バックドア(裏口)」ツールを利用して侵入

     具体的な侵入方法は、トレンドマイクロが「ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る」で解析している。それによると、上記の脆弱性を突いて秘密裏に裏口(バックドア)を作るツール「DoublePulsar(ダブルパルサー)」を利用して侵入する。

     この「DoublePulsar」はアメリカのNSA(国家安全保障局)からの流出情報に含まれていたと言われるもので、4月にハッカー集団によって公開されていた。犯人はこれを利用し、WannaCryの感染拡大機能に組み込んでいる形だ。

    ●ネット経由で感染するのは特殊な条件。ただし日本でも2万件以上ある?

    • WannaCryの感染拡大方法。企業内などのLAN、インターネットどちらでも感染を広げる(トレンドマイクロによる)
      WannaCryの感染拡大方法。企業内などのLAN、インターネットどちらでも感染を広げる(トレンドマイクロによる)

     Windowsの脆弱性が残ったまま(MS17-010を適用していない)で、かつポート(インターネットの接続窓口)445番が開いているパソコン・サーバーに侵入する。かなり特殊な条件であり、家庭用ルーターでネット接続している一般ユーザー、ファイアウォールが有効な企業であれば感染することはないと思われる。しかしトレンドマイクロの調べによれば、ポート445番が開いているものは、5月18日現在で「日本で約3万件、世界で50万件以上」があるとのこと。このうちWannaCryに感染する可能性のある脆弱性が残っているものが、7割以上を占めると報告されている。日本だけで2万件以上が感染の可能性があることになる。(ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る:トレンドマイクロ

    ●通信モジュール内蔵のノートパソコンの持ち込みで感染も?

     ノートパソコンを外で利用した時に感染し、そのPCを社内LANなどに接続することでの感染拡大も疑われている(ランサムウエア "WannaCrypt" に関する注意喚起:JPCERT/CC)。ノートパソコンの一部で通信モジュールを内蔵して直接ネット接続できるものがあり、上記の条件にあてはまると感染する可能性があるとのことだ(モバイルルーター利用やスマホのテザリングであれば大丈夫だと思われる)。

    ●感染が止まった理由は「キルスイッチ」があったから

     WannaCryの感染は週末に拡大したものの、15日月曜日以降は落ち着いているようだ。理由はWannaCry自体に「キルスイッチ」と呼ばれる停止機能があるため。特定のドメイン(インターネット上の住所)にアクセスし、そのドメインが生きていると動きを止める機能だ。セキュリティー関係者によって、そのドメインが有効化されたため、流行のスピードは落ちた(WannaCry:情報まとめ:カスペルスキー)。犯人がキルスイッチを入れた理由についてカスペルスキーは、「セキュリティー会社などによる解析を避けるため(解析に使う仮想環境ではインターネット接続していなくても接続しているかのように見せかける)」などの理由ではないかと推測している。

    ●身代金の支払額は約1000万円・300件強

    • WannaCry感染後の状況。画像・文書などのファイルが暗号化されてしまい読めなくなっている(ソフトバンク・テクノロジーのシニアセキュリティリサーチャー・辻伸弘氏による)
      WannaCry感染後の状況。画像・文書などのファイルが暗号化されてしまい読めなくなっている(ソフトバンク・テクノロジーのシニアセキュリティリサーチャー・辻伸弘氏による)

     WannaCryでは身代金をビットコイン(ネット上で使われる電子通貨)で要求している。しかし入金されるビットコインの口座は3つしか確認されておらず、この口座を見ると支払われた身代金の総額がわかってしまう(ランサムウェアWannaCryに関するさらなる分析:マカフィー)。5月19日11時現在、3つの口座の総額は約8万8千ドル(約1000万円)、件数は304件となっている。世界的な流行にしては、支払った人は少ないと言えるだろう。

    ●支払ってもファイルは復元できない?

     ビットコインの口座が3つしかないのはWannaCryのバグだと思われ、それによって身代金を支払った人の特定ができなくなっている(シマンテック公式英語アカウントによるツイート1)。これでは払った人を特定できず、ファイルを元に戻すことができないと思われる。そのため犯人は支払い前に事前にメッセージを送る表示を出すように変更したようだ(シマンテック公式英語アカウントによるツイート2)。

    ●北朝鮮犯人説は臆測の段階

     一部のセキュリティー研究者が、北朝鮮の関与が疑われている過去の攻撃(ハッカー集団ラザルスグループへの関与)でのコードと、今回のWannaCryは共通性があるとしている(WannaCry ランサムウェアについて知っておくべきこと:シマンテック)。ただしセキュリティー各社はあくまで推測の段階だとして調査を進めている段階。まだ臆測だと考えていいだろう。

    対策はネットの接続環境チェックとWindowsアップデート

     WannaCryの対策は、NISC内閣サイバーセキュリティセンターによるTwitterモーメント「現在拡散中の #ランサムウェア ( #WannaCrypt )への対応方法」と、JPCERT/CCによる「ランサムウエア "WannaCrypt" に関する注意喚起」にまとめられている。基本となるポイントは以下の3つだ。

    ★ランサムウェア・WannaCryへの対策

    1:ネットの接続環境をチェックする

     ルーターやファイアウォールを使ってインターネットに接続しているか。ルーターやファイアウォールがなく、かつWindowsの脆弱性が残っている場合は感染の可能性があるので注意。WannaCryの感染のベースとなる裏口ツール「DoublePulsar(ダブルパルサー)」の感染がないか確かめ、下記の対策を行う(参考記事:世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた:piyolog

    2:Windowsアップデートを行う

     原因となる脆弱性を解消するため、Windowsアップデートを行う。今回は特例としてサポートが終了しているWindows XPでもアップデートが可能になっているので実行したい。なお現時点のWannaCryは、Macやスマートフォンには感染しない。

    3:ウイルス対策ソフトの最新版を入れて自動更新に

     ウイルス対策ソフトの最新版を導入し、かつ自動更新の設定にすること

     現時点では、暗号化されてしまったファイルを戻す方法は発見されていない。しかしWindows XPで特定の状況であれば元に戻す方法がみつかったとの報告もあるので、今後の解析に期待したい。

     今後のランサムウェアへの対策としては、感染に備えてバックアップを定期的に行うことも大切だ。USBメモリーや取り外しできるポータブルハードディスクにバックアップを取ることを勧めたい(PCに常時接続しているものは暗号化されてしまう危険性があるため)。

    ★参考記事

    2016年の10大事件に偽ポケモンGO、ランサムウェア:サイバー護身術

    暗号化で身代金要求「ランサムウェア」対策:サイバー護身術

    スマホ向けランサムウェア確認…日本語では初:サイバー護身術

    2017年05月19日 15時58分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP

    目力アップ♪

    疲れをほぐして、イキイキと!