猛威を振るったランサムウェア「WannaCry」を振り返る

　2017年前半にセキュリティ関連ニュースで目に付いた話題として、ランサムウェア「WannaCry」が挙げられる。続報などを含め、それらを報じたニュース記事を振り返ってみよう。

WannaCry感染の拡大

　「WannaCry」は、Windows 10/8.1/8/7/Vista/XPなどの「SMB v1」における脆弱性「MS17-010」を突いて、5月14日前後から全世界で感染を拡大したランサムウェア。感染すると、約300ドルの身代金をビットコインで支払うよう要求する画面が表示される。

　感染が拡大した直後には、独立行政法人情報処理推進機構（IPA）、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が国内の感染例を報告したほか、トレンドマイクロやファイア・アイも相次いで記者説明会を開催して、WannaCry感染への注意を促した。

　MS17-010のセキュリティ更新プログラム（修正パッチ）は、3月に提供されていたもの。Kasperskyによれば、この脆弱性を悪用するツール「EternalBlue」は、ハッカー集団「Shadow Brokers」が米国国家安全保障局（NSA）より窃取し、4月に流出させていたもので、WannaCryでも悪用されている。

　Kasperskyのほか、シマンテックやチェック・ポイント・ソフトウェア・テクノロジーズでも、公式ブログでランサムウェア「WannaCry」の感染経路を解説。IPAでは、感染デモ動画を公開した。

亜種

　WannaCryから、身代金を要求するランサムウェア本来の機能と、活動を停止する“キルスイッチ”の機能を削除した亜種が、6月後半に登場。TCP 445番ポートへのアクセス増加が観測され、SMBでの感染によりネットワークの輻輳などが発生し、自動車会社の工場操業停止などの被害があった。

WannaCryの分析

　Kespersky CEOのユージン・カスペルスキー氏がWannaCryで悪用された脆弱性情報の流出について、「サイバーセキュリティ最悪の日になり得た」と述べた一方、米McAfeeのチーフコンシューマーエヴァンジェリストのギャリー・デイビス氏は、「金銭だけではなく、実際に試して混乱をもたらしたかったのではないか」との見方を示している。

対策ツール

　サイバーリーズン・ジャパンの「RansomFree」や、アドバンスドテクノロジーの対策ソフト、ジュピターテクノロジーの「Ranstop」など、ランサムウェア対策ツールもいくつか登場した。法人向けデータ保護ソリューションの新バージョン「Acronis Backup 12.5」でも、WannaCryをはじめとするランサムウェアへの対策機能を搭載している。また、感染の原因となる脆弱性調査ツールがラックから提供されている。

GoldenEye

　「GoldenEye」（別名：Petya、Petrwrap、Nyetya）は、ランサムウェア「Petya」の亜種で、「WannaCry」と同じWindows SMB v1の脆弱性「MS17-010」を突いて感染を広げたランサムウェア。6月末に全世界で感染を拡大し、HDDのMBR（マスターブートレコード）を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するものだった。