ファイル暗号化・身代金要求の「WannaCry」が世界的大流行でWindows XPにまで緊急パッチが配布される異常事態に突入、現状＆対応策まとめ

Windowsの脆弱性を突いたランサムウェア「WannaCry」が世界的に猛威をふるい続けており、すでにセキュリティサポートを打ち切ったWindows XPなどの旧製品についてもMicrosoftは緊急セキュリティパッチを配布しました。WannaCryは、イギリスで医療機関の端末が軒並み感染したり、日産・ルノーの製造工場でも感染が広まったりと世界的に大流行になっており、日本での被害発生も懸念されています。

WannaCry ransomware used in widespread attacks all over the world - Securelist
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

Customer Guidance for WannaCrypt attacks – MSRC
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

◆WannaCryとは？
今回世界的に大流行をしているランサムウェアは「Wanna Cryptor」と呼ばれるマルウェアの亜種であり、「WannaCry」「WannaCrypt」「WannaCryptor」「WannaCryptor」「Wcry」などという名前が付けられています。

WannaCryは2017年3月15日に公開された、リモートから任意のコードが実行可能なWindows OSに内在する脆弱性情報「MS17-010」で公開された脆弱性「CVE-2017-0144」を突いて感染するマルウェアで、感染すると保存しているファイルを暗号化し、ファイルを読み込めない状態にします。さらにWannaCryはファイル暗号化と同時にシャドーコピーも削除するためファイルの復元を困難にするとのこと。WannaCryに感染しファイルを暗号化された端末のデスクトップ画面には、ファイルを暗号化したことと、ファイルを復号化してほしければ期限内に身代金を支払うよう促す警告画面が表示されます。

Windows XPでWannaCryに感染しファイルが暗号化される様子は以下の検証ムービーで確認できます。

WannaCry Ransomware Using Windows SMB Vulnerability - YouTube


身代金請求はご丁寧にも世界各国の言語に対応している模様。

暗号化されるファイルは拡張子が「.der」「.pfx」「.key」「.crt」「.csr」「.p12」「.pem」「.odt」「.ott」「.sxw」「.stw」「.uot」「.3ds」「.max」「.3dm」「.ods」「.ots」「.sxc」「.stc」「.dif」「.slk」「.wb2」「.odp」「.otp」「.sxd」「.std」「.uop」「.odg」「.otg」「.sxm」「.mml」「.lay」「.lay6」「.asc」「.sqlite3」「.sqlitedb」「.sql」「.accdb」「.mdb」「.dbf」「.odb」「.frm」「.myd」「.myi」「.ibd」「.mdf」「.ldf」「.sln」「.suo」「.cpp」「.pas」「.asm」「.cmd」「.bat」「.ps1」「.vbs」「.dip」「.dch」「.sch」「.brd」「.jsp」「.php」「.asp」「.java」「.jar」「.class」「.mp3」「.wav」「.swf」「.fla」「.wmv」「.mpg」「.vob」「.mpeg」「.asf」「.avi」「.mov」「.mp4」「.3gp」「.mkv」「.3g2」「.flv」「.wma」「.mid」「.m3u」「.m4u」「.djvu」「.svg」「.psd」「.nef」「.tiff」「.tif」「.cgm」「.raw」「.gif」「.png」「.bmp」「.jpg」「.jpeg」「.vcd」「.iso」「.backup」「.zip」「.rar」「.tgz」「.tar」「.bak」「.tbk」「.bz2」「.PAQ」「.ARC」「.aes」「.gpg」「.vmx」「.vmdk」「.vdi」「.sldm」「.sldx」「.sti」「.sxi」「.602」「.hwp」「.snt」「.onetoc2」「.dwg」「.pdf」「.wk1」「.wks」「.123」「.rtf」「.csv」「.txt」「.vsdx」「.vsd」「.edb」「.eml」「.msg」「.ost」「.pst」「.potm」「.potx」「.ppam」「.ppsx」「.ppsm」「.pps」「.pot」「.pptm」「.pptx」「.ppt」「.xltm」「.xltx」「.xlc」「.xlm」「.xlt」「.xlw」「.xlsb」「.xlsm」「.xlsx」「.xls」「.dotx」「.dotm」「.dot」「.docm」「.docb」「.docx」「.doc」の166種類。暗号化されるとファイルは拡張子が「.wncry」に変更されてしまいます。

身代金の内容はまちまちですが、おおむね300ドル(約3万4000円)をビットコインで振り込めというもの。期限は3日で、支払いがなければ身代金は倍額になり、1週間以内に振り込みがなければデータは削除する、という極悪な内容になっています。

◆世界的に広がる被害
当初は DropboxのURLを悪用して拡散する暗号化型ランサムウェアとして発見されたWannaCryでしたが、2017年4月にハッカー集団「Shadow Brokers」がアメリカの国家安全保障局(NSA)から関連文書を盗み出したハッキングツールが基になっていると考えられています。

確認されているだけでも74カ国、4万5000回以上の攻撃が発生しているとのこと。「少なくとも150カ国で20万件以上」と全世界に被害が広まっているという欧州警察機関の報告もあります。

カスペルスキー研究所による、最初の数時間における攻撃被害のトップはロシアでダントツ。これにウクライナ、インド、台湾と続きます。

すでに深刻な被害が確認されているのがイギリスで、国営医療制度、国民保健サービス(NHS)のシステムが大規模な攻撃を受け、診察の予約システムが機能しなくなり、緊急搬送されてきた患者が受け入れられないという事態に陥りました。メイ首相が「現在、国家サイバーセキュリティセンターと病院側が連携しながら、患者の安全を守るため最大限の力を尽くしている」と述べ対策に乗り出すなど、大きな被害が確認されています。

さらにイギリス中部のサンダーランドの日産自動車工場やルノーの子会社RevozのコンピューターがWannaCryの被害により生産ラインを停止するなど、製造現場でも被害が確認されています。他にもスペインでは通信会社Telefonicaの社内PCが感染し、ドイツではドイツ鉄道の駅の電光掲示板に障害が発生し、ロシアでは通信大手のMegaFonだけでなく内務省までWannaCryの被害を受けていることを明らかにしており、被害は世界規模で拡大中。

しかし、2017年5月13日に匿名のセキュリティ専門家が、マルウェアが接続を試みるドメインが有効化されている場合に動作が止まるキルスイッチの役割を持つことを発見し、ドメインが有効化された結果、感染拡散ペースが弱まっていることが分かっています。ただし、進化型のWannaCryが登場する恐れは依然として消えていません。

◆対応策
WannaCryはメールの添付ファイルやリンク先から感染が拡大していることが分かっています。そのため、不審なメールのリンク先ページを開いたり、不用意に添付ファイルを実行したりしないというのがまずは大原則です。

また、WannaCryは2017年3月に配布されたWindowsのセキュリティ更新を行っていない端末で発生しています。このため、脆弱性「CVE-2017-0144」をふさぐセキュリティパッチを当てることが有効な対策と言え、対策をしていない場合はすみやかに対策パッチを適用するのが重要です。CVE-2017-0144対策パッチは、以下のページで各OSごとに入手可能です。

マイクロソフト セキュリティ情報 MS17-010 - 緊急
https://technet.microsoft.com/ja-jp/jp/library/security/ms17-010.aspx

世界的に被害が発生しているという事態の深刻度に鑑みて、Microsoftはすでにサポートを打ち切ったWindows XPなどの旧製品についてもセキュリティパッチを配布しています。各OSごとのリンク先は以下の通り。

Windows XP SP3 用セキュリティ更新プログラム (KB4012598) from Official Microsoft Download Center
Windows XP SP2 for x64-Based Systems 用セキュリティ更新プログラム (KB4012598)
Security Update for Windows XP SP3 for XPe (KB4012598) - 日本語
Windows Server 2003 for x64-Based Systems 用セキュリティ更新プログラム (KB4012598)
Windows Server 2003 用セキュリティ更新プログラム (KB4012598)
Windows 8 for x64-Based Systems 用セキュリティ更新プログラム (KB4012598)
Windows 8 用セキュリティ更新プログラム (KB4012598)

なお、システムの安定性への懸念からセキュリティパッチを当てられていないというような場合は、まずは重要なファイルを外部にコピー・保存して待避させることも重要です。

また、Microsoftは攻撃手法が進化する可能性を考慮して、追加の多層防御対策についても発表しています。

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – 日本のセキュリティチーム
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

◆おまけ
Microsoftの最高法務責任者ブラッド・スミス氏が、公式ブログでWannaCry事件からの教訓という投稿を行っています。

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack - Microsoft on the Issues
https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

この中では、Microsoftでは2017年3月にセキュリティ対策パッチを配布していたが、今回のWannaCryの大規模被害が発生したことは対策済でない端末が世界中に存在することを浮き彫りにしたとして、セキュリティ更新の重要性を呼びかけています。

また、WannaCryはそもそもNSAによって開発されたハッキングツールがハッカーによって盗み出された結果誕生したという事実から、政府機関による悪事が世界的規模での被害を生み出すことを非難しています。WikiLeaksによって暴かれたCIAのハッキング手法を記した「Vault 7」が公開されていることから、今後も「官製」ハッキング被害が発生する可能性はゼロではなさそうです。