トレンドマイクロは5月15日、被害が急拡大しているランサムウェア「WannaCry(同社検出名 : Wcry)」に関する記者説明会を開催した。同社のセキュリティエバンジェリスト 岡本 勝之氏が現時点で把握しているWannaCryの詳細について語った。

いつから、どこで?

WannaCryはハッカー集団「Shadow Brokers」が米国家安全保障局(NSA)から盗み取ったツールに含まれていたネットワーク共有機能「SMB(v1)」の脆弱性を突くエクスプロイトキットを元にしている。実は2月の段階で登場しており、4月にはDropboxを悪用した攻撃も確認されている。

現在、日本語を含む28言語の身代金要求文が用意されており、日本以外に英国や台湾、チリ、米国、インドなどでWannaCryを検出しているという。イギリスでは医療機関や日産自動車の工場が、ドイツでは鉄道機関が業務停止や一部案内表示の停止に追い込まれている。

拡散経路は?

岡本氏によれば、今回の攻撃は「メール経由、あるいはWeb経由の感染ともに、どちらも広く拡大している形跡は現状見られていない」という。2000年以前に猛威をふるった「ワーム」のような挙動を行うマルウェアのため、ある一つのPCが感染すると同一ネットワーク内の「SMB(v1)」の脆弱性が放置されているPCに対して感染を広げていく。同じ理屈で、グローバルIPでも同様にスキャンするような形で脆弱性が放置されているWindows OSを狙うため、こうした「感染拡大の実態」が見えることなく広がっているとトレンドマイクロは分析する。

こうした状況のため、一般的な「日本語メールに気をつけてください」というランサムウェア対策も平時の対策として重要であるものの、今回のWannaCryについては「流入経路が依然として特定できていない、入口対策はアンチウイルスやすでに出回っているC&CサーバーのIPアドレス、ドメインのブラックリスト登録」がベストなようだ。

どうやってPCを守るのか?

ただ根本的な対策は、常日頃からセキュリティベンダーやMicrosoftなどが語る「ソフトウェアは常に最新のアップデートを適用し、セキュリティソフトのシグネチャも最新に更新する」というものだ。実際、今回の脆弱性はMicrosoftが3月に公開した脆弱性情報「MS-17-010」を突く攻撃であり、すでにその対策アップデートは配信されている。

先週末に慌ててMicrosoftが公開したアップデートは「本来サポートが終了したWindows XP / Server 2003」に対するものであり、これをもって「マイクロソフトは対応が遅い」と叩くのは言語道断である。

これを適用すれば確かに今回のランサムウェアからPCを守ることはできるものの、例えばほかにも流出したとされる「トマホークミサイル相当のNSAエクスプロイトキット」が悪用されれば、またMicrosoftが対策アップデートを行うとは限らない。常にリスクが伴う環境ということを忘れてはいけないわけだ。

実はばら撒き型攻撃ではない? 今回のランサムウェア

トレンドマイクロには、週末から15日16時までに175件の問い合わせがあり、実際にWannaCryに感染した件数は9件(XPの感染あり)だった。この9件のうち、身代金を払った企業があったかどうかについては「そこまで調査できていない」とのことだが、機能としては暗号化が解除できることを確認しているという。また、ワーム拡散を防ぐ「キルスイッチ」についても岡本氏は存在を認めたものの「キルスイッチを搭載していない亜種も登場しており、これらを根拠に安心できるわけではない」と語る。