関連記事インデックス

猛威を振るったランサムウェア「WannaCry」を振り返る

感染の経路や規模、分析、対策ツールまで

 2017年前半にセキュリティ関連ニュースで目に付いた話題として、ランサムウェア「WannaCry」が挙げられる。続報などを含め、それらを報じたニュース記事を振り返ってみよう。

WannaCry感染の拡大

 「WannaCry」は、Windows 10/8.1/8/7/Vista/XPなどの「SMB v1」における脆弱性「MS17-010」を突いて、5月14日前後から全世界で感染を拡大したランサムウェア。感染すると、約300ドルの身代金をビットコインで支払うよう要求する画面が表示される。

 感染が拡大した直後には、独立行政法人情報処理推進機構(IPA)、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が国内の感染例を報告したほか、トレンドマイクロファイア・アイも相次いで記者説明会を開催して、WannaCry感染への注意を促した。

 MS17-010のセキュリティ更新プログラム(修正パッチ)は、3月に提供されていたもの。Kasperskyによれば、この脆弱性を悪用するツール「EternalBlue」は、ハッカー集団「Shadow Brokers」が米国国家安全保障局(NSA)より窃取し、4月に流出させていたもので、WannaCryでも悪用されている。

 Kasperskyのほか、シマンテックチェック・ポイント・ソフトウェア・テクノロジーズでも、公式ブログでランサムウェア「WannaCry」の感染経路を解説。IPAでは、感染デモ動画を公開した。

亜種

 WannaCryから、身代金を要求するランサムウェア本来の機能と、活動を停止する“キルスイッチ”の機能を削除した亜種が、6月後半に登場。TCP 445番ポートへのアクセス増加が観測され、SMBでの感染によりネットワークの輻輳などが発生し、自動車会社の工場操業停止などの被害があった。

GoldenEye

 「GoldenEye」(別名:Petya、Petrwrap、Nyetya)は、ランサムウェア「Petya」の亜種で、「WannaCry」と同じWindows SMB v1の脆弱性「MS17-010」を突いて感染を広げたランサムウェア。6月末に全世界で感染を拡大し、HDDのMBR(マスターブートレコード)を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するものだった。