WannaCryとは?仕組みと感染経路、感染確認方法や対策を紹介
2017年の登場以来、現在まで稼働を続けているランサムウェア「WannaCry(ワナクライ)」。今回は、その仕組みや感染経路、また感染の確認方法などについて解説します。自社のランサムウェア対策について再確認したい方は是非ご一読ください。
- 目次
WannaCryはランサムウェアの一種
「WannaCry(ワナクライ)」はマルウェアの一種で、ファイルを暗号化し身代金を要求する「ランサムウェア」に分類されます。主にWindows®を標的としたランサムウェアで、2017年に初めて確認されて以降、急速に感染を拡大。イギリスで医療施設のシステムが使用不能となる、欧州の自動車工場が稼働不能となるなど、世界中に大きな被害をもたらしました。
WannaCryの仕組み
WannaCryはワームの機能を持つマルウェアとファイル暗号化の機能を持つマルウェアの2つで構成されています。まずはワーム機能を持つマルウェアが攻撃対象となる端末へと侵入し、続いてファイル暗号化の機能を持つマルウェアが端末内のファイルを暗号化して使用不能にした上で画面上に脅迫文を表示するという仕組みです。
脅迫文には復号と引き換えに暗号通貨による金銭支払いを要求する文言のほか、一定時間経過する毎に身代金が上昇すること、また期限を過ぎると復号が不可能になることなどが記載されています。
WannaCryの感染経路
マルウェアというと「不審なメール内に記載されたURLをクリックしてしまった」「不審な添付ファイルを不用意にクリックしてしまった」などの感染経路が思い浮かびますが、WannaCryは「EternalBlue」と呼ばれる攻撃手段を用いて感染を広げます。WannaCryの感染が爆発的に広まった背景には、ワームの「単独で動作し、自己複製して感染を広げる」という特性を持ち、端末上の操作がなくても感染するEternalBlueの影響があったと考えられます。
EternalBlueとは
EternalBlueについてもう少し詳しく見てみましょう。
EternalBlueはOS上のぜい弱性を利用した攻撃プログラム(エクスプロイト)の一種です。具体的にはWindows®のファイル共有プロトコルである「SMB1.0(SMBv1)」のぜい弱性を悪用し、故意にバッファオーバーフローを発生させてファイルの書き換えを行います。
WannaCryのうちワーム機能を持つマルウェアはEternalBlueを内包しており、ランダムに自動生成したIPアドレスに向けて感染拡大を試みます。つまりネットワークに接続されてさえいれば社内ネットワークの内外などに関係なく感染の危険があったわけです。
WannaCryの感染を確認する方法
WannaCryに感染した端末は、壁紙が黒に変わり、「Wanna Decrypt0r」という名称のウィンドウが表示されます。また、ファイルは暗号化され拡張子が「.wncry」などに変更されてしまいます。
そういった症状が出ていなくても、ネットワーク上のほかの端末が感染していないか、または攻撃を受けていないかを確認したい場合にはDNSサーバーのクエリログにセキュリティ対策企業などが公表しているWannaCry関連のドメイン名が記録されていないか、ファイアウォールのログにWannaCryが侵入に使用するポート445への接続が記録されていないかなどを確認しましょう。
WannaCryに感染した場合の被害
一説によるとWannaCryの感染は世界で150ヶ国以上、計23万台以上の端末まで広がったとされています。では、実際に感染した場合にはどのような被害に遭う可能性があるのでしょうか。
システム障害による業務の中断
WannaCryに感染すると、ファイルが暗号化されシステムは使用不能となります。そうなれば通常通りに業務を行うことは困難となるでしょう。また、仮にスマートファクトリーの端末などが感染すれば製造業務に多大な影響があるでしょうし、通信システムや医療システムに感染が広がれば命に関わる事態にもなりかねません。
身代金の支払いによる経済的ダメージ
業務の中断を避けるため、脅迫に屈して身代金を支払ってしまえば経済的ダメージを受けます。しかし、身代金を支払ってもデータの復号化が成功しなかった、というケースも多数報告されています(そもそもWannaCryには身代金が支払われた端末を特定する手段を持っていないという情報もあります)。
前述の業務停止による経済的損失と併せると、2017年時点で総被害額は40億ドルに達したという試算もあり、経済的ダメージはかなりのものとなります。
ワームの活動による複数端末への感染拡大
前述のようにWannaCryはIPアドレスを自動生成し、ネットワーク通信を介して感染先を見つけます。つまり社内の1台が感染した場合でも、被害は社内外を問わず複数の端末に広がっていくということです。
多数の端末が感染すれば復旧には端末数に応じた時間と労力が必要となりますし、感染が社外まで広がれば会社の信用失墜といった結果を招きかねません。WannaCryへの感染は、今後の事業継続についても被害をもたらす可能性があるのです。
WannaCryなどランサムウェアへの対策として企業が行うべきこと
では、WannaCryを含むランサムウェアとして企業が行うべきことは何でしょうか。次に主なものを紹介します。
定期的にデータのバックアップをとる
まずは定期的にデータのバックアップをとることがあげられます。ランサムウェアに感染して復号化ができない場合、端末の初期化を行う必要が生じる場合があります。そうした場合にも、業務に使用するデータのバックアップがあれば被害を軽減することができます。
ただし、いくらバックアップ取っていても感染時に端末からアクセス可能な状態となっていれば同時に暗号化されてしまいます。バックアップには外付けの記憶媒体やクラウドストレージを使用するのがよいでしょう。また、可能なかぎりこまめにバックアップを取ることも必要です。
OSやソフトウェアのアップデートで最新のセキュリティパッチを適用する
OSやソフトウェアをアップデートして常に最新の状態に保ち、発見されたぜい弱性に早期に対応することも大切です。実はWannaCryが感染を拡大した2017年5より2ヶ月前に、すでにMicrosoft社により該当のぜい弱性に対応するセキュリティパッチ(=ぜい弱性をカバーするプログラム)が公開されていました。前もってこのセキュリティパッチを適用していた端末は感染しなかったわけですから、いかにこうした日頃の地道な対策が大切であるかが分かります。
情報リテラシー向上に向けて社内教育を図る
WannaCryはEternalBlueにより感染を拡大します。では、「不審なメール内に記載されたURLはクリックしない」「不審な添付ファイルを不用意にクリックしない」「不審なファイルはダウンロードしない」「出所不明の外部記録メディアは使用しない」などの従来の対策は不要になったかというとそうではありません。
こうした対策によりWannaCry以外のランサムウェアへの感染を防ぐことができますし、またワーム機能を持ったマルウェアに対しても「最初の感染者」となることを防ぐことができます。社内教育を通じ情報リテラシーの向上を図ることは今後も引き続き重要です。
公共Wi-Fiの利用をなるべく避ける
カフェや公共施設などで無料の公衆Wi-Fiを目にする機会も多くなってきました。しかし、公衆Wi-Fiの中には暗号化などのセキュリティ対策が十分でないものや、悪意を持った第三者のなりすましによるものもあり、利用する際には注意が必要です。具体的には第三者に通信内容を傍受されたり、偽のサイトに誘導されマルウェアに感染する可能性があります。
特に社内ネットワークなどにログインするためにIDやパスワードを入力する、社外秘の業務メールを送受信する、などの場合には、回線上に仮想の専用線を構築するVPNを使用して安全性を担保すると良いでしょう。
セキュリティ対策ソフトやサービスを活用する
WannaCryは現在まで稼働を続けています。また、今後もランサムウェアの攻撃は、進化・多様化することが予想されます。また、新たなぜい弱性を突いたものも登場するでしょう。
さらにリモートワークの普及などによるセキュリティリスクの高まりも懸念材料です。こうした状況のなか、情報端末のセキュリティ強化のためには専用のウイルス対策ソフトウェアやマルウェア対策サービスの導入が有効な手段となります。ランサムウェア感染の被害を防ぐためにも、未導入の場合には早期の導入を目指すべきでしょう。
ハイブリッドワーク時代のサイバー攻撃対策なら「Secure Access Gateway」
NTTPCの「Secure Access Gateway」はSASEのコンセプトにもとづいたサービスです。ネットワーク機能とセキュリティ機能とを一元的に提供するため、テレワークなどで社外からアクセスする場合でも安全・安心・快適なネットワーク環境を構築できます。
月額500円(税込)から利用でき、クライアントソフトをインストールするだけで簡単・手軽に導入が可能。テレワーク中、社員のフィッシングサイトや有害サイトへのアクセス、マルウェア、ランサムウェアの感染を防ぎたい方は是非導入をご検討ください。
まとめ
今回は、WannaCryがランサムウェアの一種でワームの機能を持つマルウェアとファイル暗号化の機能を持つマルウェアで構成されていること、Windows®のぜい弱性を突いた「EternalBlue」という仕組みで感染を広げていくことなどを確認しました。
WannaCryに感染しているかどうかは、壁紙が黒に変わるなど感染の兆候が表れているかを確認するほか、DNSサーバーのクエリログ、ファイアウォールのログをチェックすることでも確認できます。
もし感染した場合には「システム障害による業務の中断」「身代金の支払いによる経済的ダメージ」「ワームの活動による複数端末への感染拡大」など深刻な被害を受ける危険性があります。「定期的にデータのバックアップをとる」「OSやソフトウェアのアップデートで最新のセキュリティパッチを適用する」「情報リテラシー向上に向けて社内教育を図る」「公共Wi-Fiの利用をなるべく避ける」「セキュリティ対策ソフトやサービスを活用する」などの対策を怠らず、感染を未然に防ぎましょう。
※Windowsは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。