猛威を振るランサムウェア「WannaCry」とその亜種。世界70か国以上で深刻な被害がでています。感染するとディスクの内容が暗号化されてアクセスできない状態になります。暗号化を解除するにはビットコインを300ドルから600ドル送付しろ(送付しても解除できないと報告されています)、といういわば身代金要求の脅迫メッセージが表示されます。同じ組織のコンピュータに伝染したり、亜種が登場したり違った形の攻撃へと移行していることが報告されており状況は刻々と変わっています。この記事では、執筆時点(2017-05-15 9:00JST)の国内外の状況の要点を整理しています。
そして、本題に入る前に重要なことをお伝えします。まず、不審に思われるメールの添付ファイルを開いたり、リンクへのアクセスをしないでください。また、Windows PCを利用している人はパソコンやサーバーはもちろん、キオスク端末、業務用端末を利用されている人や組織は緊急パッチの適用をしてください(Customer Guidance for WannaCrypt attacks)。
日本のIPA(情報処理推進機構)は2017年5月14日、異例の注意喚起を行っています。「「世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について」」で日本語の注意喚起およびガイダンスも行われていますので参考にしてください。
ランサムウェアとは、WannaCryとは
ランサムウェアは「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。コンピュータ・ウイルスの一種で、感染するとそのコンピュータが使えなくなるようなプログラムを勝手に実行します。再び使えるようにするために金銭を要求します。なお、金銭を支払っても解除される保証はありません。また、今回のケースでは送金に仮想通貨ビットコインが使用されており、それの受け口がどこの誰なのか調べがつかない状況です。
トレンドマイクロによれば、2016年日本国内において検出されたランサムウェアは「2016年1月~12月で6万5400件を超え、2015年1年間の検出台数6700件に対して、9.8倍と急増してます」とのことです。IPAは2017年4月27日に「情報セキュリティ10大脅威2017」でランサムウェアをトップ2に挙げた矢先でした。
今回、被害を拡大しているとみられているランサムウェアは「Wanna Cryptor」「WannaCrypt」「WannaCry」「 Wcry」などと呼ばれています。おもにメールの添付ファイルやリンクでプログラムが送付されており、Dropxboxのリンクを偽装したケースもあるそうです。また、同じ組織内のコンピュータにも感染する機能があるようです。専門家によれば28種類の言語をサポートし、179種類のファイルを暗号化するとみられており、報道によれば日本語のシステム感染が報告されているとのことです。
何が起こっているか
今回のランサムウェア「WannaCry」は、米国時間の2017年4月14日に「Shadow Brokers」と呼ばれるハッカー集団が公開したものです。Windowsの古いバージョンの脆弱性を突いたものですが、米Microsoftは2017年3月14日の時点でMicrosoft製品に関する脆弱性の修正プログラム MS17-010が公表するなど、脆弱性を修正するプログラムを提供済みと発表していました。
ただ、実際のところ修正プログラムを適用してないと思われるWindows機、特にサポーと期限が切れたWindows Xpの感染が報告されている事態を重く見たMicrosoftはサポート期間が切れたWindwos Xp向けの修正プログラムも緊急配布しています。
組織内全体に被害が及ぶケースが報道されており、イギリスでは医療機関のシステム全体が使用不能となり手術ができなくなったり、スペインでは通信会社Telefonicaでは数百代のコンピュータが感染し、社内にあるPCのシャットダウンやWi-FiおよびVPNで社内に接続することを禁止する通知を出しています。ニューヨークタイムズの報道によれば、150か国で20万以上のコンピュータが感染しているとのことです。
WannaCryは機能を進化していることが確認されています。このマルウェアの通信経路を確認して防御する方法が伝えられましたが、それを回避すると思われる亜種の登場も報告されています(WannaCry — New Variants Detected!)
どうすればいいか
大切なことは、今できることをやることです。
・知らない相手からのプログラムを実行しない
・知らない相手からのリンクを開かない
・セキュリティ問題修正するプログラムを適用する
さらには、コストがかかってしまうかもしれませんが、こういったことも必要かもしれません。
・最新のOSにアップデートする
・セキュリティ対策プログラムを使用する
もし感染してしまったら、まずはPCをシャットダウンするのが適策かもしれません。なぜならネットワークに接続した状態ではほかのコンピュータも感染する危険があるからです。また、IPAに感染を報告しアドバイスを受けるなどすることで何らかの糸口が見つかるかもしれません。
この記事で紹介した内容は現状を整理したものです。
Windows以外のOSに拡大する可能性もありますし、その動向から目を話さないことが大切です。
【関連URL】
・世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
・ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/
