ランサムウェア「WannaCry」は複数経路で侵入、グローバルIPアドレスの445番ポート直接スキャンも？

　ランサムウェア「WannaCry」（別名「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WCry」など）の感染に関する調査結果を、セキュリティベンダー各社が発表している。

　チェック・ポイント・ソフトウェア・テクノロジーズ株式会社によれば、WannaCryの攻撃は、メール本文からのURLリンク、PDF/ZIPファイルの添付、RDPサーバーに対する総当たり攻撃でのログインなど、複数の手法によるものが全世界で同時に発生。国内では、ネットワーク共有機能「SMB v1」の脆弱性を悪用する侵入経路による被害が拡大しているという。

　トレンドマイクロ株式会社では、WannaCryによるメールベースでの大規模攻撃の兆候は確認しておらず、インターネット上のグローバルIPアドレスに対して直接、脆弱性を狙う攻撃が行われていたとみているという。

　WannaCryは感染後、侵入した企業などの同一ネットワーク上で、SMBによるファイル共有用の445番ポートをスキャンし、SMB v1の脆弱性があるPCに感染を拡大するが、そうしたローカルIPアドレスに加えて、インターネット上のグローバルIPアドレスにおける同ポートを直接スキャンしているとみられるとのこと。この脆弱性を狙う攻撃について、国内でも1万6000件以上をクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」でブロックしたことを発表している。

　日本時間の5月7日9時から12日の21時42分までの時点では、全世界で2128件、うち国内では105件の攻撃検出にとどまっていたが、12日の21時42分以降、15日9時までに全世界で9万2141件、うち国内では全体の14.8％となる1万3645件の攻撃が確認された。さらに15日9時から16日9時までには、国内で2686件の攻撃を確認しているとのことだ。

　トレンドマイクロでは、緊急事態と判断した5月12日夜間以降に、日本でも海外同様に攻撃を受けていたことが明らかになったとしている。また、この件数は同一ネットワークでは1件とカウントされるため、PC台数ではさらにこれを上回ると推測している。

　一方、米Symantecでは、WannaCryの約2200万件の攻撃を「Symantec Endpoint Protection」と「Blue Coat ProxySG」による世界30万カ所のエンドポイントによりブロックしたという。