数日前より、暗号化型ランサムウェア「WannaCry」の大流行が始まりました。その規模は世界的と見られ、当社で観測した攻撃の数はわずか一日で45,000件を数えました。実際の攻撃数は、間違いなくこの数値を超えることでしょう。
何が起きたのか
複数の大規模組織が一斉に感染を報告しました。中でも英国の複数病院では、手術を中断せざるをえなくなりました。報じられるところによるとWannaCryは10万台以上のコンピューターに感染、その規模の大きさが注目を集めています。
攻撃の多くはロシアで起きていますが、ウクライナ、インド、台湾でもWannaCryによる被害が出ています。当社では74か国でWannaCryを発見しましたが、これは攻撃発生初日のみのデータです。
WannaCryとは?
一般的に、WannaCryは2段階でやってきます。第1段階は、感染と感染拡大を意図したエクスプロイトの侵入。第2段階として、暗号化型ランサムウェアが感染先コンピューターにダウンロードされます。
WannaCryには、他の暗号化型ランサムウェアとは異なる特徴があります。一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。
WannaCry:エクスプロイトと感染拡大
WannaCryは、Microsoftの脆弱性を悪用する「EternalBlue」という名のWindowsエクスプロイトを利用します。EternalBlueを使えば、コンピューターにリモートアクセスして暗号化型ランサムウェアをインストールすることが可能です。なお、この脆弱性は、今年3月15日(日本時間)のセキュリティ更新プログラムで修正されているものです。
セキュリティ更新プログラムをインストールしてあれば当該脆弱性は存在せず、コンピューターのリモートハッキングはできません。しかし、Kaspersky Labのグローバル調査分析チーム(GReAT)は、この脆弱性が修正されていても暗号化型ランサムウェアの動作を阻止することはできないと指摘しています。したがって、前項で述べたようななんらかの形(リンクのクリック、マクロの実行、添付ファイルのダウンロードなど)で暗号化型ランサムウェアを起動してしまったならば、被害を防ぐことはできません。
コンピューターのハッキングに成功すると、WannaCryはコンピューターワームのように、ローカルネットワークを通じて他のコンピューターへと感染を広げます。同じ脆弱性を抱えるコンピューターが見つかるとEternalBlueの力を借りて感染し、コンピューター上のファイルを暗号化します。
1台のコンピューターが感染すると、WannaCryはLAN内全体に感染を広げ、そのネットワーク上にあるコンピューターをすべて暗号化してしまう可能性があります。大企業がWannaCryの攻撃に苦しめられているのはこのためです。ネットワーク上にあるコンピューターの数が多いほど、被害規模が拡大します。
WannaCry:暗号化型ランサムウェア
WannaCryの暗号化型ランサムウェアとしての機能は、他の暗号化型ランサムウェアと同様で、ファイルを暗号化し、復号と引き換えに身代金を要求します。WannaCryは、昨年春に猛威を振るったランサムウェア「CryptXXX」の一亜種とよく似ています。なお、WannaCryは「WCrypt」「Wanna Decryptor」と呼ばれる場合もあるようですが、「Decryptor」の名が付いていても機能としては暗号化を実施するものであって、復号の機能を持つものではありません。
WannaCryはさまざまなタイプのファイルを暗号化します。Office文書、画像、動画、圧縮ファイルほか、重要なユーザーデータを含む可能性のあるファイル形式が影響を受けます(全ファイル形式はこちらでご確認を)。暗号化されたファイルには「.WCRY」という拡張子が付けられ(WannaCryという名はここに由来します)、開くことができなくなります。
暗号化の後、デスクトップ壁紙が、感染の事実を告げ、取るべき行動を指示する内容を含む画像に変更されます。さらに、感染者が間違いなくメッセージに気付くように、同じ内容の文章が書かれたテキストファイルがコンピューター内の各フォルダーに配置されます。
一般的なランサムウェアの場合と同様、Bitcoinで身代金を支払い、その後にファイルがすべて復号されることになる、というのが一連の流れです。当初は身代金の額は300ドルでしたが、のちに引き上げられ、最新バージョンのWannaCryは600ドルを要求します。
このほか、3日後には身代金の額が増額され、7日後には復号が不可能になる、という脅しもメッセージには含まれています。身代金を支払ったからといって必ずファイルが復号されるという保証はなく、支払いはお勧めしません。現実に、ファイルをあっさり削除してしまった後に身代金を要求する(つまり、どうあってもファイルは復号不可能)といった手口をとるランサムウェアが過去に報告されています。
ドメイン登録が感染を中断させた件と、これが大流行の収束とは限らない件について
興味深いことに、Malwaretechというリサーチャーが、長くて意味のない名前を持つドメインを登録することで感染をなんとか食い止めることができたと報告しています。
このリサーチャーによれば、WannaCryの一部バージョンがあるドメインに問い合わせを行い、ポジティブな応答が返ってこない場合には暗号化型ランサムウェアを送り込んで悪さをすることが判明しました。応答があった場合(つまり、そのドメインが登録済みである場合)、このマルウェアは活動を完全にストップしました。
このトロイの木馬のコード内にこのドメインへの参照を発見したそのリサーチャーが、当該ドメインを登録したところ、攻撃が中断されました。このドメインへの問い合わせは、その日のうちに何万回も発生しましたが、つまりそれだけの数のコンピューターが感染を免れたということでもあります。
この機能は何か不測の事態が起きた場合に「ブレーカー」として機能するために内蔵されたものだ、という説があります。また、マルウェアのふるまいの分析を難しくするための策だとする説もあり、これはこの機能を発見したリサーチャー本人が唱えています。調査で使われたテスト環境では、意図的に任意のドメインからポジティブ応答を返すようにした場合、マルウェアは何も行動を起こさなかったとのことです。
しかしながら、新種のWannaCryでは「ブレーカー」としてのドメイン名が変更される可能性があります。WannaCryの流行がこれで収束するとは楽観できません。
WannaCryから身を守るために
残念ながら、現時点ではWannaCryによって暗号化されたファイルを復号する手段はありません(当社では現在対応中です)。したがって、一番の策は感染を防ぐことです。
感染を防ぎ、被害を最低限に抑えるためには、以下を参考にしてください。
- すでにカスペルスキーの製品をお使いの場合は、次の対応をお勧めします。まず、重要領域の手動スキャンを実施します。もしも「MEM:Trojan.Win64.EquationDrug.gen」(WannaCryの検知名)などという名のマルウェアが検知されたら、削除したのち、システムを再起動してください。
- 当社製品をお使いの場合は、WannaCryの新種が現れた場合に備え、システムウォッチャーを有効にしておいてください。
- ソフトウェアのセキュリティ更新をインストールしてください。Windowsをお使いの皆さんは、MS17-010のセキュリティ更新プログラムを必ずインストールしてください。Windows XPやWindows Server 2003のような公式サポートがすでに終了しているOSに対してもセキュリティ更新プログラムが公開されています。今すぐインストールを。
- ファイルのバックアップを定期的に作成し、普段はコンピューターに接続しないストレージデバイスに保管しましょう。直近のバックアップがあれば、暗号化型ランサムウェアに感染しても復旧の手立てはあります(復旧の手間はかかりますが)。
- 信頼できるセキュリティ製品を導入しましょう。カスペルスキーの製品は、WannaCryを検知します。具体的な検知名については、Securelist記事の「Kaspersky Lab detection names」のセクションをご覧ください。また、製品に搭載のシステムウォッチャーには、望まない変更が加えられた場合に元に戻すことができるという機能があります。定義データベースに登録されていないバージョンのランサムウェアによって暗号化された場合も、その動作を元に戻すことができます。
- 企業ユーザー向けの対策についてもまとめました。こちらの記事をご参照ください。
カスペルスキー製品をすでにお使いの方は、当社のサポートページも合わせてご覧ください。
※2017年5月16日更新:サポートページへのリンクを追記しました。