ニュース

ランサムウェア「WannaCry」の侵入経路は? トレンドマイクロが解説

 トレンドマイクロ株式会社は15日、被害が拡大するランサムウェア「WannaCry」(別名「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WCry」など)についての解説セミナーを緊急開催した。

WannaCryによる被害状況

 WannaCryの被害は、日本時間の5月13日早朝より英国を中心に、ロシア、スペイン、ドイツ、フランス、ポルトガル、米国での被害が報道されているほか、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」のデータによれば、台湾、チリ、日本、インドでも検出が確認されているという。12日から15日16時までにトレンドマイクロに寄せられた国内法人・個人ユーザーからの問い合わせ数175件のうち、WannaCryによる被害件数は9件だった。

 WannaCryのアクセスについてトレンドマイクロ株式会社セキュリティエバンジェリストの岡本勝之氏は「(SPNでは)14日朝には数百件を検出しており、短期間としては多いが、そういったアウトブレイクはほか(のマルウェア)にもあるので、飛び抜けて多いというわけではない」という。

トレンドマイクロ株式会社セキュリティエバンジェリストの岡本勝之氏

 なお、独立行政法人情報処理推進機構(IPA)技術本部セキュリティセンターが運営している「安心相談窓口」へ寄せられたランサムウェア感染に関する問い合わせ件数は5月15日だけで26件、うちWannaCryによる被害件数は9件だった。

IPA運営の「安心相談窓口」への寄せられたランサムウェアに関する関する相談件数

WannaCryの感染経路は脆弱性を悪用するネットワークワーム機能?

 WannaCryは2月に登場が確認され、その後4月にはDropboxの共有URLを悪用した拡散も確認されていた。開発を表明しているハッカー集団「Shadow Brokers」は、米国国家安全保障局(NSA)より窃取したツールの「SMB v1」脆弱性を悪用する機能を流用したと表明している。今回広まっているのは、ネットワーク経由でほかのPCに侵入する亜種。「3月にパッチが提供された比較的新しい脆弱性(MS17-010)を悪用するネットワークワーム機能が(WannaCryの)大きな特徴。」とした。

 WannaCryは、「何十年も前からあるネットワーク共有機能『SMB v1』を悪用するため、(Windows XPやWindows 2003 Serverなど)以前から存在するレガシーシステムも標的にしている」とした。また、「国内含め、ランサムウェアが入り込む場所として、事務系ネットワークとのイメージがあるが、海外の報道では、駅の掲示システムや医療用システムなどでの感染が確認されているなど、病院・工場・鉄道など業種特有の環境での被害が目立つ」とし、「主に法人組織が標的になっている」との見方を示した。

 侵入経路としては、メールの添付ファイルやウェブサイトなどを経由し、広くばらまかれた攻撃の形跡が確認できていないことから、「ばらまき自体がないのではないかと考えている」という。過去のばらまき型のマルウェアの事例と異なり、WannaCryの感染をもくろむウイルスメールは、トレンドマイクロ社内へも届いていないという。そして、「3月に提供されているパッチを適用していない上、(SMBによるファイル共有用の)445番ポートをインターネットに開放している法人などの環境は、日本ではほとんどないと考えていた」と述べ、「持ち出しPC経由で企業に入り込むなどのシナリオは考えられる」としたほか、「ネットワーク越しの侵入も考えられる」との見方を示した。

 警察庁でも15日、MS17-010を標的とする攻撃ツール「Eternalblue」を悪用した攻撃と考えられるアクセスの観測結果について、発表を行っている。これによると、TCP 445番ポートへのアクセスは、4月19日以降に継続して観測されているものの、WannaCryの感染被害が拡大した5月12日以降、目立って増加しているとは言えない状況だ。

警察庁のインターネット定点観測システムによる宛先ポート445/TCPに対するアクセス件数推移

WannaCryの挙動と対策方法

 WannaCryは、メールなどに添付されたファイルをダブルクリックなどで実行するか、脆弱性の悪用により活動を開始する。まず、C&Cサーバーへ接続し、不正ファイルをダウンロードして実行し、探索を行って脆弱性の悪用により感染を広めるとともに、ランサムウェアの実体である不正ファイルをダウンロードする。そして、脅迫状の表示やファイルの暗号化を行う。

 「Microsoft Security Center(2.0)」という正規サービスに偽装したプロセスとして実行される点も特徴。166種類の拡張子を見てファイルを見つけ出し、暗号化を行う。なお、PCのローカルファイルだけでなく、ネットワーク共有ファイルも暗号化するという。

 身代金要求メッセージの表示は、日本語を含む28言語に対応しており、トレンドマイクロではBitcoinで300ドル相当の身代金を要求することを確認している。

 発表会では、仮想環境でランサムウェアを実行するデモも行われた。実行ファイルをダブルクリックすると、メッセージを表示する「WannaDecryptor@.exe」ファイルが生成され、脅迫状が表示される。なお、実行時にはWindowsのユーザーアカウント制御(UAC)が起動するため、設定を変更していなければ、通常は起動を防ぐことができるはずだが、脆弱性の悪用により侵入された場合はUACは表示されないとのことだ。

 画面では、右上に身代金要求額を倍に釣り上げるまで、右下にファイルを全部削除するまで時間をカウントダウン表示される。また、下部には、Bitcoinによる実際の支払い方法も表示される。「最近のランサムウェアはこうしたものが多く、支払いを行った後にクリックする『Chech Payment』のボタンは、月曜から金曜、グリニッジ標準時の9~11時にクリックすると受け付けやすいとの記述もある」という。

 なお、壁紙も変えられてしまうほか、メッセージを消しても自動的に要求画面が再度表示されるという。また、WannaCryには、特定のウェブサイトへアクセスを試みると活動を停止できる「キルスイッチ」を含んでいるが、「これを含まないバージョンもすでに確認している」という。

 トレンドマイクロでは、WannaCryへの対策として、「サポートの切れているWindows XPなどのOSは使わず、セキュリティアップデートを実施すること」をまず挙げた。

 また、「データが失われるため、バックアップは必須。特に法人では、重要度の高いデータはバックアップをセキュリティ対策として進めて欲しい」とし、「共有ファイルも暗号化するため、どれが必要なのか、対応を優先する重要データを分類するべき」とした。

 さらに「必要ない環境、インターネットに出す必要のない環境などを考えて、ネットワークをセグメント化すること」も挙げた。

 また、「一つ一つのウイルスが検出できなかったとしても、それ以外のファイル変更監視や振る舞い検知などの機能で防御できるので、セキュリティ対策製品の導入も重要」と述べた。