TREND

市場動向

世界を突然襲ったランサムウェア「WannaCry」

001

 

1 発生の経緯について

2017年5月12日、世界100ヵ国以上に被害をもたらしたと言われる大規模なサイバー攻撃が行われました。
この攻撃では、政府機関、病院、通信会社、自動車会社などで既に被害が確認されており、世界で20万台以上が感染したと報道されています。
海外では自動車工場が自社内のランサムウェアの拡散を防ぐために一時的に生産を停止した事例や、医療機関では安全の為に手術を取りやめるなどといった影響が出ています。

2 WannaCryランサムウェアについて

この攻撃では、WannaCryまたはWannaCryptなどと呼ばれるランサムウェアが使われており、感染すると端末内部のOfficeデータや動画、画像、など166種類のファイルを暗号化し、身代金(ランサム)を要求します。
暗号化されたファイルのファイル名には「.WNCRY」という文字列が付与され、暗号化が完了した後にボリュームシャドーコピーを削除するため復元が阻止されてしまいます。
身代金は仮想通貨ビットコインでの支払いが要求され、最初の要求額は$300 – $600ですが、3日以内に支払いがなければ要求金額が倍になるような脅しを用いています。
これまでの一般的なランサムウェアは、感染後に表示される脅迫画面のメッセージが英語でしたが、今回のWannaCryについては、下記のように日本語化された画面が表示される点が特徴です。これは世界の中で日本もターゲットにされているということがいえます。

01
【WannaCryによって表示される日本語の身代金要求画面】

WannaCryランサムウェアの感染経路について、現時点では正確に確認されていないものの、一般的なランサムウェアの拡散手法であるメールの添付ファイルやリンクのクリックなどのユーザーの操作を必要とせず、インターネットに直接つながっている端末に対して攻撃が成功する脆弱性を持つ端末をスキャンし、発見次第攻撃を行っている可能性も見えてきています。

WannaCryランサムウェアは2017年3月にマイクロソフト社がパッチを公開した、WindowsのSMB(Server Message Block)の脆弱性(MS17-010)をついて感染行動を行います。このランサムウェアの厄介な点は、1台の端末の感染で終わるのではなく、感染した端末が他の社内・社外端末に対して、同じ脆弱性を持つ端末のスキャンを行い、該当の端末を発見次第感染拡大させていく点にあります。
この結果、最初はたった1台の感染にもかかわらず、社内のファイルサーバーや基幹システムまでもがランサムウェアに感染し重大な問題を引き起こす可能性を秘めています。

3 セキュリティパッチでの対策について

今回の攻撃はマイクロソフト製品の脆弱性(MS17-010)を利用しているため、2017年3月に公開されているセキュリティパッチを適用すれば感染しないと言われており、最優先でセキュリティパッチの適用を行う事が推奨されています。
マイクロソフト社は今回の被害の大きさ、影響度から3年前にサポート期限が切れているWindows XPなどのサポート期限切れOSに対してもセキュリティパッチ(KB4012598)をリリースするという異例の対応を行っています。

●マイクロソフト社のセキュリティパッチ情報

マイクロソフト セキュリティ情報 MS17-010 – 緊急
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
サポート切れOS向けのセキュリティパッチ(KB4012598)情報
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
LanScope Catをお使いのユーザー様であれば、更新プログラム管理機能を活用してセキュリティパッチの適用状況を確認し、未適用の端末にパッチの配信を行う事で効率よく対策が行えます。

LanScope Catの更新プログラム管理画面では、調査対象のセキュリティパッチを選んで確認することができ、下記図のようにセキュリティパッチ(KB4012212)を適用済みの端末は〇、未適用の端末は空白で表示することで今回の攻撃に対するセキュリティパッチの適用状況を一目で把握することができます。

01
【更新プログラム管理画面】

また、セキュリティパッチの適用が何らかの理由で出来ない場合の対応として、マイクロソフト社は「SMB v1」を無効化することを案内しています。

●マイクロソフト社:ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/?wt.mc_id=AID528471_EML_5066212

4 亜種含めたマルウェアを未然に検知、隔離

今回の攻撃が世界的に大きな被害へとつながった背景には、感染経路が脆弱性を持つ端末に直接マルウェアを送り込む手法の為、社内のファイアウォールやメールフィルタリング機能を通さず攻撃が成立することが考えられます。
また、攻撃がスタートした5月12日の段階では、ほとんどのアンチウイルス製品がWannaCryの検体を入手できておらず、一部の振る舞い検知機能などで検知できた場合を除いて攻撃が成功してしまったことが考えられます。
5月13日~14日にかけてインターネット上で多数のWannaCry検体が報告され、これらのハッシュ値が順次ブラックリストに登録されることで現在では既知の検体の多くは検知・隔離が可能な状態になっています。
しかし、現時点で報告されていない検体はまだブラックリストに登録されていないため検知はできず、もし第二のWannaCryとなる新種のマルウェアによる攻撃が行われた場合、同じような被害が再発することは想像に難くありません。

大切なことは、現時点で攻撃に使われた(既知の)マルウェアを検知することができるのか、ではなく『5月12日時点のような攻撃を受けたとしても、(未知の)マルウェアが実行されることなく、自社を守ることができたのか?』という点です。

LanScope Catのオプション「プロテクトキャット powered by cylance」は、今回のWannaCryランサムウェアによる攻撃に対して、2016年7月にリリースされたバージョンで脅威を未然に検知・隔離できたことが確認できています。これにより、社内の端末はもちろん、普段ネットワークに繋がっていない端末も安全な環境を保つことができます。
LanScope Catは深刻化するサイバー攻撃に対し、資産管理機能によるパッチマネジメント、AIによる事前防御によってお客様の環境を守ります。

01
【プロテクトキャット 脅威検知画面】

【関連セミナー情報】
■WannaCry 最新の攻撃をどう防ぐか? 緊急対策セミナー
【東京】6月2日(金)【大阪】6月6日(火)【名古屋】6月7日(水)
 https://www.lanscope.jp/cat/seminar/seminar201706/

■多層防御でサイバー攻撃、ランサムウェアーに立ち向かう!
【東京】6月28日(水)
 https://www.lanscope.jp/cat/seminar/seminar20170628/

nakamoto

この記事を書いた人
中本 琢也
経営企画部にて、海外展開、新規企画、広告宣伝を推進。日本とアメリカ両方の目線からセキュリティ情報の発信を目指す。最近はまっている事はマルウェア収集