被害拡大のランサムウェア「WannaCryptor」は「SMB v1」の脆弱性を悪用、サポート終了のWindows XP向けにも緊急パッチ提供

　Windows 10/8.1/8/7/Vista/XPなどの「SMB v1」における複数の脆弱性「CVE-2017-0143～0148」を悪用するランサムウェア「WannaCryptor」の被害が全世界で拡大しているとして、日本マイクロソフト株式会社やセキュリティベンダー各社が注意を喚起している。

　日本マイクロソフトでは、この脆弱性を「MS17-010」としており、すでにWindows 10/8.1/7/Vistaと、Windows Server 2016/2012 R2/2012/2008 R2/2008向けのセキュリティ更新プログラムを3月に提供している。しかし、英国を中心としたWannaCryptorの被害拡大を受け、5月13日にはすでにサポートを終了しているWindows 8/XP/Server 2003向けに、緊急でセキュリティ更新プログラムの提供を行った。

　WannaCryptorは、Windows PCのファイルを暗号化し、復元を条件にBitcoinでの支払いを要求するもの。「WannaCrypt」「WanaCrypt0r」「Wanna Decryptor」「WannaCry」「WCry」の別称がある。脅迫文は日本語を含む多言語に対応している。

　独立行政法人情報処理推進機構（IPA）によれば、WannaCryptorは、メールの添付ファイルを開封させる手法で感染させるため、パッチの適用などを行う対策の実施を推奨している。 一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）によれば、国内での被害も確認されたという。PCのファイルが暗号化され、復元のために金銭を要求する日本語のメッセージが表示されることを確認しているとのことだ。

　トレンドマイクロ株式会社によれば、WannaCryptorは、ダウンロードしたファイルを「Microsoft Security Center (2.0)」という名前のサービスとして実行するワーク機能を搭載。ネットワーク上で共有されているSMBサーバーの脆弱性「CVE-2017-0145」を探索し、ほかのPCへ感染を拡大するという。また、4月の時点でDropboxのURLを悪用して拡散する例も確認されていたという。

　日本マイクロソフトでは、緩和策として「SMB v1」を無効化することや、TCPポート135/137/138/139/445番の受信を停止することも推奨している。