WannaCry (ワナクライ) とは?

ランサムウェア保護を入手

定義

WannaCry とは 2017 年 5 月に発見されたウイルスで、世界規模のサイバー攻撃の中で Microsoft Windows で稼働する企業ネットワークを攻撃しました。WannaCry は Windows のサーバー メッセージ ブロック (SMB) ネットワーク プロトコルの一部のバージョンにある EternalBlue として知られるセキュリティ上の欠陥を利用して、標的のネットワーク内をワームのように拡散しました。[1]

Microsoft はすぐに WannaCry 向けのパッチをリリースしましたが、中には対応が間に合わない組織もありました。実際、一部の顧客が使用していた Windows のバージョンはあまりに古かったため、パッチを適用することすらできませんでした。[2]

WannaCry 攻撃

2017 年 5 月 11 日、西ヨーロッパと米国の組織が、EternalBlue エクスプロイトを使用してサーバー メッセージ ブロック (SMB) の既知の脆弱性を攻撃することで波及するランサムウェアが急速に拡散しているとの報告を受けました。[3] WannaCry は、破壊的なウイルスがネットワークの脆弱性を利用して数多くのコンピューターに感染する最初のサイバー攻撃となってその名をとどろかせました。

感染および攻撃の仕組み

WannaCry ランサムウェアは EternalBlue エクスプロイトを使ってネットワークに感染し、Microsoft Windows OS に実装されているサーバー メッセージ ブロックの脆弱性を標的にします。このランサムウェアは、ネットワーク オペレーターが推奨どおりのアップデートをインストールできない旧バージョンの Windows への侵入にこれまでで最も成功したものとなっています。

WannaCry が拡散してネットワークに侵入すると、サイバー犯罪者は感染したシステムのデータを暗号化し、本来の所有者がアクセスできないようにします。犯人はデータの暗号化を解除してアクセスを復活させることと引き換えに身代金を支払うよう被害者に強制します。

身代金の支払いは仮想通貨で行われ、多くの場合ビットコインが使用されます。[4]

拡散の仕組み

従来、サイバー犯罪者はメールか Web のダウンロードを使用してランサムウェアを配布していました。ところが、WannaCry がネットワークの脆弱性を利用して数多くのコンピューターに感染させるという、マルウェア配布の新たな方法を生み出したのです。[3]

WannaCry は EternalBlue と呼ばれるエクスプロイトを使用して拡散します。これは米国家安全保障局 (NSA) により開発され、後に盗み出されたものです。EternalBlue により攻撃者は標的となるネットワーク上で脆弱なコンピューターを発見することができます。また、WannaCry は DoublePulsar と呼ばれる NSA バックドアも利用して、ネットワークに WannaCry をインストールします。

WannaCry の削除

WannaCry は削除するよりも防ぐ方がはるかに簡単です。WannaCry は世界中で 25 万を超えるシステムに感染したランサムウェア ワームを作り、配布してきました。WannaCry に感染した組織には、身代金を支払うか、感染したシステムをワイプして暗号化されたデータをバックアップから復元する (バックアップしている場合) 他に方法はまずありません。

幸い、プルーフポイントの 2 名を含むセキュリティ研究者たちが、攻撃者と感染したマシンの間でやり取りされる通信の管理に使用されるマルウェアの中で、暗号化されたドメイン名を発見しました。WannaCry の作成者がドメインの登録に失敗したことにより、研究者が拡散を食い止めることができたのです。

未解決のネットワーク脆弱性の中で重要なのは、パッチを当てていない、または設定が不十分なレガシーシステムです。そのようなネットワークを保護する最善の策は、最新のパッチをインストールし、セキュリティ設定を検証して、バックアップインフラが確実に各マシンと社内全体のデータを復元できるかテストすることです。

ランサムウェア保護のベストプラクティス

WannaCry ランサムウェアとそれに関連するサイバー攻撃から得られた主な教訓は、オペレーティングシステムへのパッチの適用を怠ってはいけないということです。世界中の組織が最新のパッチをインストールし、バックアップをテストして、ランサムウェア攻撃に備えておく必要があります。

大枠で言うなら、組織はランサムウェアの問題に対して複数の方向からのアプローチをとり、脅威の手が緩むことを期待しないようにすることが必要です。

ランサムウェアに対する最善のセキュリティ戦略は、防止、検知、回復の機能を組み合わせることです。ランサムウェアの大半は悪意のあるメールから拡散されるため、組織は害のあるメールの配信を阻止するソリューションに投資する必要があります。

2 番目の防止対策は、ランサムウェアの一般的な拡散方法の 1 つであるドキュメントに埋め込まれている悪意のあるマクロを抑止できるよう IT 環境を構成することです。ほとんどの組織では、ビジネスプロセスを遮ることなく、ネットワーク外から受信したドキュメントにあるマクロをユーザーが有効化するのを阻止することが可能です。

検知のコントロールも役に立ちます。エンドポイントとネットワーク セキュリティのツールが、ランサムウェアによるユーザーファイルの暗号化やランサムウェアの指揮管理インフラからの暗号化キーのダウンロードを阻止できることがよくあります。

最後に、プロアクティブなリカバリ戦略がランサムウェアに対する保護で効果を発揮できます。強固なバックアッププロセスを備えた規模の大きな組織では、身代金を支払わないことがよくあります。暗号化されたデータをただ復元するだけでよいのです (ユーザーは時間を無駄にするかもしれませんが)。これに対して、最初にバックアップを暗号化しようとするランサムウェアも出てきました。そのため、バックアップインフラ自体に適切なセキュリティ設定を施すことが重要になっています。

 


 

[1] ZDNet. 『This malware just got more powerful by adding the WannaCry trick to its arsenal (このマルウェアは WannaCry の特徴を備えたことで強化されました)
[2] Ryan Kalember (プルーフポイント)、『Proofpoint のリサーチャーが世界規模の WannaCry ランサムウェア攻撃の拡散を抑止
[3] プルーフポイント、『Cybersecurity Predictions for 2018 (2018 年サイバーセキュリティの予測)
[4] プルーフポイント、『ランサムウェアは一大ビジネスです

ランサムウェア最新ニュース

99ヵ国以上に影響を与えた先日のWannaCryランサムウェア攻撃。しかし、2人のProofpointのリサーチャーと、Malwaretechにブログを寄稿しているイギリスのサイバーセキュリティリサーチャーの素早い行動が無ければ、被害はもっと拡大していたでしょう。

WannaCry ランサムウェア サバイバル ガイド

ランサムウェア サバイバル ガイド 2022 で、ランサムウェアの攻撃前、攻撃中、攻撃後に何をすべきかをご確認ください。