ニュース

ランサムウェアなのに感染に気付かない「WannaCry」亜種、TCPポート445番へのアクセスが増加、輻輳に伴うシステム障害の恐れ

 警察庁は22日、「インターネット定点観測システム」へのアクセス情報の観測・分析結果を公表し、ランサムウェア「WannaCry」の亜種に感染したPCからのTCPポート445番へのアクセスが増加しているとして、注意を喚起している。

 通常のWannaCryでは、あらかじめ設定されたキルスイッチドメインへの接続を試み、失敗した場合のみファイルの暗号化や、WindowsにおけるSMB v1の脆弱性を悪用した感染活動を行う。こうしたキルスイッチドメインが、セキュリティベンダーなどによって取得されたことで、警察庁ではWannaCryの感染拡大がある程度抑制されたとの見方を示している。

 しかし、今回感染活動が観測された亜種は、キルスイッチドメインへの接続結果にかかわらず感染活動を行う一方で、ファイルを暗号化する「tasksche.exe」が起動しない特徴を持つという。

 警察庁によれば、この亜種の感染活動とみられるTCPポート445番への不審なアクセスは、6月20日時点で1日当たり1000以上のIPアドレスから確認されており、6月初旬以降のWannaCry感染の多数を占めているという。

 この亜種ではファイルを暗号化しないため、ユーザーがWannaCryにPCが感染していることに気付かないまま感染が拡大する恐れがあり、こうした感染PCからのトラフィック増大により、ネットワークの輻輳と、これに伴うシステム障害が生じる恐れがあるとのことだ。

 警察庁では対策として、3月にMicrosoftが提供しているセキュリティ更新プログラム「MS17-010」の適用や、TCPポート445番への通信遮断を推奨している。モバイル回線でのインターネット接続時には、ルーターのNATを介さない場合があることにも注意を促しているほか、不審なプロセスやファイルの有無、通信を確認し、PCがWannaCryに感染していないか確認することも推奨している。