トレンドマイクロは5月16日、公式ブログにおいて、ランサムウェア「WannaCry/Wcry」の感染活動の仕組みについて解説した。

同社によると、2016年に確認されたランサムウェア攻撃の拡散手法の約79%がメール経由によるものだったが、現時点ではWannaCryによるメールベースの大規模な攻撃が行われている兆候は見られないという。

今回のサイバー攻撃は広範囲かつ短期間に行われているが、同社はインターネット経由で直接グローバルIPアドレスに対して脆弱性を狙う攻撃が行われていたと見ている。

また、被害を最大化させるにあたっては、感染後に同じネットワーク上に存在するパソコンに今回悪用されているSMBの脆弱性がないかをスキャンして攻撃する「ワーム機能」がサイバー犯罪者によって活用されていると指摘している。

「WannaCry」の活動概念図 資料:トレンドマイクロ

WannaCry」のワーム活動概念図

この自動感染、自己増殖ともいえる「ワーム機能」を搭載するマルウェアが猛威を振るうことは、近年ではまれだが、目的を達成させるために効果的な手法を使うサイバー犯罪者の特徴を表しているかもしれないという。