WannaCry

WannaCry（ワナクライ）

概要

WannaCry（別名WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor、WCry）は、2017年5月12日に始まった大規模なランサムウェアの一種です。この攻撃はMicrosoft Windowsを標的にしており、150か国以上で23万台以上のコンピュータが影響を受けました。攻撃は28の言語を通じて行われ、被害にあったユーザーにはビットコインによる身代金が要求されました。感染の初期例は、2017年4月25日に確認されたDropboxの短縮URLを利用したもので、5月12日から本格的に拡大しました。

このランサムウェアは、さまざまな手段—電子メール、ワーム、マルウェアなど—で感染を広げました。ウィルスの揺るぎない拡散は、ユーロポールが「前例のない規模」と表現するほどで、高い脅威とされました。WannaCryはWindowsのSMBv1の脆弱性であるMS17-010を主に利用して、未パッチのコンピュータに侵入しました。この脆弱性は2017年3月14日にマイクロソフトが公開したセキュリティパッチによって修正可能でしたが、パッチを適用しなかったコンピュータが感染し、被害が広がりました。特に、被害にあったコンピュータの多くがWindows 7を使用していたことが特徴です。

攻撃の影響を緩和するために、マイクロソフトは特例として、サポートが終了していたWindows XPやWindows Server 2003、Windows 8.1未適用のWindows 8に対しても臨時のパッチを提供しました。

背景

WannaCryの背後には、4月14日にインターネット上で公開されたシャドー・ブローカーズと呼ばれる集団の動きがありました。この集団は、NSAが開発したMS17-010の脆弱性を利用するエクスプロイトツールであるEternalBlueや、バックドアプログラムのDoublepulsarなどを公開しました。これらのツールは、NSAのイクエーション・グループから漏洩したものと考えられています。WannaCryは、EternalBlueとDoublepulsarの2つのツールを使用して感染を広げました。また、以前からこれらのツールを盗んで改良した中国のハッカーグループによる動きもあったとされています。

被害

カスペルスキーによれば、最も影響を受けた国はロシア、ウクライナ、インド、台湾であるとされています。日本でも日立製作所、東日本旅客鉄道、イオントップバリュなど、複数の重要インフラが被害を受けました。また、アジア圏やヨーロッパ、南米、北米でも多数の企業や機関が影響を受け、特にイギリスの国民保健サービスは深刻な被害を受けました。多くの医療機関でシステムがダウンし、手術や診療が中止される事態が発生しました。

調査と対処

攻撃の初期に、セキュリティ研究者がWannaCryに含まれるキルスイッチとなる未登録のドメインを発見し、登録することで一時的に感染を食い止めることができました。また、ハッカーたちはこのキルスイッチを排除した新たな亜種を作成し、より危険な状況を生み出しました。さらに、北朝鮮との関連が指摘され、アメリカ合衆国政府は北朝鮮がこの攻撃に関与しているとの見解を示しましたが、その証拠は不十分とされています。

身代金と復号

WannaCryは、感染後にデータの復号のために最初は300ドルの身代金が要求され、その後600ドルに値上がりしました。しかし、支払いを行ったにも関わらず復号できなかったケースが多く報告されています。カスペルスキーによると、身代金の振込先としては少なくとも3つのアカウントが使用されており、最終的に302件の取引で49.60319ビットコインが振り込まれたことが確認されています。

結論

WannaCryは、ランサムウェアの脅威や、それに対抗するためのセキュリティ対策の重要性を再認識させる事件でした。今後もサイバーセキュリティの重要性がますます高まる中、企業やユーザーは最新のセキュリティパッチを迅速に適用し、意識を持つことが必要です。

もう一度検索