新型ランサムウェア「WannaCry/Wcry」とは　１

「WannaCry/Wcry（ワナクライ）」とは、データを暗号化して身代金を要求するランサムウェアの一種です。Microsoft Windowsを対象に、2017年5月12日から大規模なサイバー攻撃が開始され、150カ国の23万台以上に感染するなど世界中を混乱に陥れました。

イギリスでは国民保健サービスが攻撃を受け、MRIや血液貯蔵冷蔵庫など、7万台の機器が影響を受けたと言われています。また、ヨーロッパを見ても、ルノーや英国日産自動車製造などの自動車製造工場が製造停止の事態に陥りました

日本でも「日立製作所」や「東日本旅客鉄道」など600カ所、2000端末以上が感染し、社内システムの一部に障害が発生するなどしました。このように各国で拡大した「ワナクライ」は、感染したコンピュータの言語に応じて翻訳した脅迫画面を表示するという性質を持っていました。

しかしこの「ワナクライ」、スマートフォンでも感染する恐れがあり、またそれに似たコンピュータウイルスも登場してきているのです。

その話題に触れる前に、「ワナクライ」のプログラム上の特徴について説明します。

「ワナクライ」はそもそも、「Shadow Brokers（シャドーブローカーズ）」というハッカー集団が米国家安全保障局（NSA）から「エターナルブルー」という脆弱性攻撃プログラムを盗み出したことに端を発します。

このプログラムは世界中で多くの人が使うWindowsの「SMBv1の脆弱性」という脆弱性を突くもので、それが悪用された結果、被害が拡大することとなりました。またNSAは、この脆弱性を利用したツールを使っている事実をマイクロソフトには公開していなかったということもあり、もし脆弱性を報告していればその修正パッチが用意され、そこまで被害は広がらなかったという意見もあります。

「ワナクライ」の被害を加速させた大きな要因は、「ワナクライ」は従来のランサムウェアとは違いワーム型である、という点です。文字通りワーム（虫）のようにパソコンの中を動き回り、インターネットや社内LAN・家庭内LAN経由で他のパソコンにまで感染するという、自己複製して拡散していくウイルスであることから、被害が拡大したと言えます。

ランサムウェアの主な感染経路は、メールのリンククリックや不正ファイルのダウンロードによるものです。リンク先にウイルスに感染させるページを用意したり、添付ファイルそのものにウイルスが入っているのです。そうして知らず識らずのうちに自分のパソコンで複製し、メールを送信するという形で拡大を見せると考えられます。また、不正な広告が表示またはクリックされることによっても感染が見られます。アドネットワーク内に不正侵入し、不正広告を作成するというケースが考えられるため、この対策は難しいという問題があります。

ところで、セキュリティ会社のMalwarebytesは、「ワナクライは電子メール経由の感染ではなかった」とする声明を出しています。同社によれば、攻撃者はまず脆弱性のある公開SMBポートを探し出し、NSAから流出したSMBの脆弱性悪用ツールを使って発見した標的にマルウェア（不正かつ有害に動作させる意図で作成された悪意あるソフトウェアやコード）を仕込んでいたということです。

また、「ワナクライ」では身代金の支払いにビットコインが使用されたことが特徴的でした。ランサムウェアは、パソコンのロック・データの暗号化など、パソコンに対し特定の制限をかけ、その制限の解除と引き換えに金銭を要求する「身代金要求型ウイルス」です。通常だとこの場合、金銭の受け取りの際に何らかのデータが残り、犯人の特定・逮捕まで繋がる可能性があります。ところが「ワナクライ」では、この支払いにビットコインが使用されました。これによって匿名性が増し、犯人の足取りをつかむことがかなり困難になりました。

「ワナクライ」が流行した直後、「Adylkuzz」という「ワナクライ」が利用している脆弱性を使った新たなウイルスが出回っていることが確認されました。「Adylkuzz」は感染したPC内にあるビットコインなどの仮想通貨をウイルス作成者に送信させるものです。これらの処理はバックグラウンドで行われ、感染に気付きにくいというのが特徴です。

また2017年6月27日には、欧州各国で、OSを読み込むための領域を破壊する暗号化型ランサムウェア「Petya」の亜種による大規模な攻撃が行われました。こちらにおいても、「ワナクライ」が利用している脆弱性を使ったものであることが明らかにされています。

次回は、「ワナクライ」などのランサムウェアに感染しないようにする対策方法と、スマホでの危険性について解説していきます。