世界中で猛威をふるったランサムウェア「WannaCry」に関する各種報道は記憶に新しい。その被害は収束しつつあるものの、亜種も含めた感染はいまだ世界各国で発生しており、引き続き状況を注視していく必要がある。本稿では、WannaCryをはじめとするランサムウェアの現状や被害が拡大した原因、企業におけるセキュリティ向上への取り組みについて、セキュアワークスの三科涼マネージャーに話を伺った。

SecureWorks Japan セキュリティ&リスクコンサルティング マネージャ 三科涼氏

WannaCryをはじめとするランサムウェアの現状について教えてください。

当社ではグローバルで750件程度のインシデント対応の事案を扱っていますが、そのうちランサムウェアに関するものも多くあり、最近でも問い合わせを受けて取り扱っている状況です。WannaCryは、Windowsに存在したSMBv1の脆弱性を利用した攻撃ツール「EternalBlue」とバックドア「Doublepulsar」をセットで用いて攻撃します。WannaCryをはじめとするランサムウェアは、ファイルを暗号化して金銭を要求することを目的としたものが一般的ですが、最近では、同じ攻撃方法を用いているものの、ファイルの暗号化をしなかったり身代金を要求しなかったりというWannacryの亜種に感染した事例もいくつか出てきています。また、データ破壊を目的としたワイパー「NotPetya」や標的型攻撃にも、EternalBlueが活用されていると考えられています。

実際に身代金を払ってしまった事例というのはありますか?

当社で扱った事例にはありませんが、グローバルではWannaCryが拡散しはじめた当初に巨額の身代金を支払った事例があります。身代金を払ったとしても、ファイルが複合できなかったり削除されたりする事例は多数あるため、当社としては絶対に払わないようお伝えしています。

従来のランサムウェアと比べて、WannaCryの特徴を教えてください。

従来のランサムウェアは、1台に感染して端末内とネットワーク共有上のファイルを暗号化するだけでしたが、WannaCry以降のランサムウェアは、インターネットに直接接続されたコンピュータや社内ネットワークを介して、脆弱性のあるコンピュータを探索し、自身をコピーすることで感染を拡大させていくのが特徴です。インターネットや内部ネットワークを介して縦横無尽に感染させ金銭を要求できるので、攻撃者からするとローリスク・ハイリターンな手法であると言えます。

WannaCry以降、被害の状況は落ち着いてきたと考えてよいのでしょうか?

WannaCryが拡散しはじめた当初と比較すると現在は収束していますが、問い合わせはコンスタントにいただいている状況です。被害を止めるにはまず、マイクロソフトが3月にリリースしたセキュリティパッチを適用すべきなのですが、パッチマネジメントができていなかったり、レガシーシステムを利用していてパッチを当てたくても当てられない状況だったりというケースが見られます。海外オフィスの端末に感染し、それが社内ネットワークに広がり、パッチが適用されていないシステムにも感染してしまい、業務に影響が出ている事例もありました。

WannaCryの場合、パッチの適用を徹底することで被害は防げるのですか?

パッチを適用することがいちばんなのですが、パッチを適用できていない端末がどうしても残ってしまうことが問題だと考えています。昔からパッチマネジメントは重要であると言われている一方で、時間と労力がかかるのも事実です。どの端末にどのバージョンのWindowsが利用されているのか、どこまでパッチが適用済みかを100%把握することはやはり難しいと言えます。企業としては、パッチマネジメントはもちろん、戦略的に重要なシステムをいかに堅牢化して守っていくか、バックアップの運用や多層防御などをいかにして行っていくか、また計画的にセキュリティ対策を行っていくことが重要です。