PCの身代金を要求する「WannaCry」の特徴と対策をトレンドマイクロが解説

PCの身代金を要求する「WannaCry」の特徴と対策をトレンドマイクロが解説

 トレンドマイクロは5月15日、日本国内でも脅威となりつつあるランサムウェア「WannaCry」(ワナクライ)に関する報道関係者向けセミナーを実施。同社のセキュリティエバンジェリストである岡本勝之氏が、同社調べの情報をまとめ、解説しました。

ヨーロッパを中心に被害が拡大トレンドマイクロでは9件の感染報告を確認

トレンドマイクロ株式会社 セキュリティエバンジェリスト 岡本勝之氏

 冒頭では、WannaCry(別名:WannaCrypt、WannaCryptor、Wcryなど)の被害状況を解説。WannaCryはイギリスなどを中心に脅威をふるっているランサムウェアで、ヨーロッパ圏やロシア、アメリカなど世界各地に拡大。日本でも日立製作所やJR東日本の端末が被害を受けています。

 そもそもランサムウェア(Ransomeware)とは、身代金を意味するRansomとSoftwareによる造語。身代金要求型不正プログラムとも呼ばれ、何らかの方法で侵入し、データもしくはPC自体を暗号化して使用不能にし、それらを復号化するのと引き替えに身代金を要求するといった手口をとります。

トレンドマイクロのSmart Protection Networkでは英国、台湾、チリ、日本、米国、インドでWannaCryを検出しているという

ランサムウェア自体は2015年から被害が拡大している

 WannaCryの最大の特徴は、ワームのようにネットワーク経由で侵入・拡散する点。トレンドマイクロでは、WannaCryを今年2月には検出しており、4月にはクラウド型ストレージサービス「Dropbox」を悪用した方法で広がりました。そして今回は、米国国家安全保障局から流出したツールに含まれるSMBv1という古い通信プロトコルに関する脆弱性を利用した感染が報告されています。

 この脆弱性はVista以降のWindowsであれば3月15日に配布されているパッチ(MS17-010)を適用していれば対策済み。5月15日からは異例とWindows XP SP3やWindows Server 2003などにも同様のパッチが配布されました。

 そのほかにも、岡本氏はWannaCryの対応言語と要求金額についてにも注目。WannaCryに感染すると、データの復元を見返りにBitcoin 300ドル分の入金を促されます。その画面表示は日本語を含む28種類の言語に対応。さらに、Dropboxが悪用された4月のケースでは要求金額が400ドル分で、ディスカウントされていることから、より多くの人や地域、団体をターゲットとしていると想定できます。

WannaCryの特徴。同社では5月12日から15日16時までに、法人個人を含む175件のWannaCryに関する問い合わせがあり、内9件は実際に感染が報告されたという

WannaCryを実験環境でデモ復元化の「お試し」も動作する

 会場では実験環境でのWannaCryの実際の挙動をデモし、感染後から身代金要求までのフェーズを確認しました。

 感染直後にWannaCryはMicrosoftの正規サービス「Microsoft Security Center(2.0)」になりすまし動作、不正なサーバーから暗号化のための不正なソフトをダウンロードし、それを実行します。暗号化が完了してしまうと、壁紙が黒ベースの警告文付きのものに変えられ「Wana Decrypt0r 2.0」という脅迫文付き画面が表示されます。

PCの身代金を要求する「WannaCry」の特徴と対策をトレンドマイクロが解説

 Wana Decrypt0r 2.0の左側には「身代金が倍増するまで」と「ファイルが削除されるまで」のカウントダウンが表示。右側には多言語によるメッセージとBitcoinの振り込み先が明記されています。

 画面下には「Check Payment(支払い確認)」と「Decrypt(復号化)」のボタンがあり、復号化ボタンを押すと、いわゆる「お試し」でいくつかのファイルを元に戻すことができます。要は「身代金さえ払えば、データは復元できる」とユーザーに認識させ、入金させようという狙いです。

 なお、岡本氏によれば「現在出回っているWannaCryのコードに、データを外部に送信する記述は見つかっていない」とのことで、現時点では、暗号化されたデータが犯人の手元に送られるようなことはないようです。

今回出回っているWannaCryの動作の流れ

実験環境でデモを実施。デスクトップにあるWannaCryの暗号化ソフトを起動する

サンプルの写真などが次々に実行不能になっていく。「@WanaDecryptor@.exe」という実行ファイルは脅迫文を表示するソフトで暗号化完了後に自動起動する

脅迫文のメッセージアプリが表示。なお、モザイクの部分には犯人のBitcoinの振り込み先が表示されている

メッセージを非表示にしても、一定時間後には再表示される。さらに、壁紙は多言語対応していないが、メッセージを読むように警告している

有効な対策方法は、まず最新版の状態に保つことと感染してしまったときのために備えること

 最後に、岡本氏は対策方法を解説。前述のとおり、今回悪用された脆弱性はサポート期間中のWindowsと例外的にWindows XP SP3などに関しては、すでにパッチが公開されています。同時に今後別の方法で侵入してくることも踏まえ、

「サポート期間中のOSにし、常に最新の状態を保つこと」

「インターネットに露出するPCやネットワークの設定を見直すこと」

を挙げています。

 さらに、同社の「ウイルスバスター」などのセキュリティー製品を導入して、対策することをすすめていました。現在のWannaCryに対して同社製品は、侵入時や暗号化実行時に検出・ブロックできるようになっているため、キチンと対策ができるとのこと。

 また、これから導入を考える場合は、WannaCryの亜種やさらに進化する新種の登場に備え、プログラムの動きで脅威を判断する「振る舞い検知」機能が重要になってくるとのこと。一部、無料もしくは安価なウイルス対策ソフトの場合は、この機能が付いていないことがあるそうで、選ぶ際のひとつの基準になりそうです。

 さて、さらに気になるのはもしも「WannaCryに感染してしまったとき」の対処方法です。個人としては、300ドル(約3万4000円)分のビットコインを払えばPCが復旧できるのか知りたいところですが、トレンドマイクロは「サイバー犯罪者に金銭を与えない」ことをポリシーとしており、実際に支払うことでデータが復号化されるかは確認できていないとのこと。

 ユーザー自身にも身代金を払うことは犯罪者の利益につながるため、「控えるべき」と述べ、感染してしまった際は、OSを再インストールすることをすすめています。そのため、重要なファイルは定期的に外部機器やクラウドサービスにバックアップをとる必要があると言えます。

 今回のケースで日本では、ファイヤーウォールやセキュリティー機能付きネットワークルーターの整備が進んでいるため諸外国に比べるとまだ被害件数は少なくなっているようです。

 しかし、今後、別の未知の脆弱性を突いたり、ユーザーをだます巧妙な手段で侵入されることがあり得ます。WannaCry以外のランサムウェアや別の脅威から身を守るためにも、上記のような対策はしっかりとしておきたいところです。

■Amazon.co.jpで購入