2017年5月13日、世界150カ国以上に配布されたランサムウェア「Wanna Cry」が、今世界中を騒がせています。
米国国家安全保障局(NSA)が保持していた国家レベルの世界最先端技術が、ハッカー集団の「Shadow Brokers」がに窃取され4月に流出した事から始まりました。
国家レベルの最新技術を用いて、ランサムウェア「Wanna Cry」が誕生。アメリカが作った技術が世界を脅威に陥れるという、まさに映画のような出来事が現実となったのです。
5月13日以降は、日本でも被害事例が続出。会社のパソコン1台に感染すれば、同ネットワークを使って社内の全パソコンに感染する事が出来ます。
また、「Wanna Cry」は大企業だけでなく中小企業・個人まで被害が拡大。今までのランサムウェアを超える圧倒的な感染力の強さが最大の特徴であり、感染防止の対策が必要です。
本記事では、ランサムウェア「WannaCry」とは何なのか?対策はどうすればいいか?徹底的に解説していきます。
目次
ランサムウェア「身代金要求型ウィルス」とは?
ランサムウェアとは、感染したコンピュータに対して、暗号化・ロックなどシステムへのアクセスを制限。解除のために身代金を要求するウィルスを示します。
大きく分類すると、「ファイルを暗号化して開けなくする」タイプと「パソコンの操作自体をロックする」タイプの2種類に分類。WannaCryは前者にあたります。
いきなり操作が出来なくなり、制限を解除するためには、身代金を支払う必要があります。また、実際支払いをしたからといって、本当にウィルスの感染から解除される保証はどこにもありません。
システムのハードディスクドライブを暗号化し、外部からのデータの抽出を不可能にする事によって、利用者に身代金の支払いを要求。28カ国語の言語ファイルが用意されており、感染したPC環境に合わせて言語を変えて表示されます。
名前の由来は、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語。身代金要求型・不正プログラムとも呼ばれています。
世界的に拡散!WannaCry(ワナクライ)とは?
世界的に拡散しているランサムウェア「WannaCry(ワナクライ)」の攻撃は、ネットワークファイル共有プロトコル「SMB v1」の脆弱性(ぜいじゃくせい)を悪用するエクスプロイト「EternalBlue」を使ってバックドア「DoublePulsar」をインストールし、システムへ感染するものです。
つまり国家レベルの技術を使い、ネットワーク・PCの弱点をついてくるウィルスです。感染すると、勝手にネットワークからウィルスをインストールし、システムに感染します。
EternalBlueの技術は、ハッカー集団の「Shadow Brokers」が米国国家安全保障局(NSA)に盗み、4月に流出させたものです。
日本でも、JR東日本や日立製作所が被害を受けた可能性が高いです。
さらに今回のウィルスは、大企業のみならず中小企業・個人へと被害が拡大している事が脅威となっています。
また、他にも「EternalRocks」と呼ばれる新たなマルウェアが、米国時間5月21日に確認されました。
WannaCryと同じく「Shadow Brokers」が4月にリークした米国家安全保障局(NSA)の7つのエクスプロイトを利用。亜種の発生を含め、本件が終息する目処はたっていません。
上記画像は、実際にランサムウェア「WannaCry」に感染した際のPC画像です。
感染の原因
- メールの添付ファイル・URLのクリック
- 同ネットワークでウィルスが拡散
- 外部ネットワーク(インターネット閲覧)時の感染
感染の流れ
- 攻撃メールを受信
- メールを開封・添付ファイルを実行
- 感染・不正ファイルの作成
- PCファイルのロック・暗号化
- 脅迫文の表示
- 自己増殖で同ネットワークに拡散
- 身代金の要求
主に被害報告が上がっているOS
ランサムウェアへの脆弱性が指摘されているOSは以下の通りです。
亜種が発生が確認されていることから、以下よりも最新のOSに感染する可能性も十分考えられます。
- Microsoft Windows Vista SP2
- Windows Server 2008 SP2
- Windows Server 2008 R2 SP1
- Windows 7 SP1
- Windows 8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT 8.1
- Windows 10
- Windows Server 2016
ハッカー集団「Shadow Brokers」とは?
Shadow Brokers(シャドーブローカーズ)は、米国国家安全保障局(NSA)へハッキングして得たデータをオークションにかけました。買い手がつかなかった事から、有料としていたデータを無料公開しました。
北朝鮮の組織なのでは?国家絡みでは?アメリカ絡みでは?引退した!?など、様々な情報が飛び交っていますが、真偽の程は明かされていません。
確かなのは、国家レベルのセキュリティを突破する技術を持っているという事です。
実は2016年8月からShadow Brokersの名前は、専門家の中で知れ渡っていました。 NSAおよびEquation Groupに関わる侵入事象をリークした時です。
有名ファイアウォール製品の脆弱性を利用していることが指摘され、同グループは後にEquation Groupが悪用したとするIPアドレスのリストを公開しました。
Shadow Brokers(シャドーブローカーズ)は、2017年6月以降、Windowsの脆弱性や北朝鮮の核開発などに関する新たな情報を、毎月有料で提供するとも予告しています。
Shadow Brokersがこれまでにも様々な情報の販売をオークションなどで行い、買い手が付かないと無料公開する行為を繰り返してきました。公開しているのは、WindowsのほかにもCiscoやIBMなどの脆弱性を突くハッキングツールが含まれます。
ランサムウェア「WannaCry」に感染した症状
感染した場合は以下の事象が起きます。
PCが操作できなくなる被害と、要求された「身代金」を支払うことによる金銭的な被害が発生しています。
- 操作が出来なくなる
- データやネットワーク共有上のファイルが暗号化され、利用できなくなる
(ランサムウェアの駆除を行っても暗号化されたまま残る)
- ビットコイン300ドルが要求される
- 3日後には要求金額が2倍に。7日過ぎても支払割れない場合は、暗号化されたファイルが削除されると表示
ランサムウェア「WannaCry」に感染するここうなる
被害事例
JPCERTコーディネーションセンターという、ウィルス感染対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行う機関が発表しています。
被害が出始めたのは、日本時間で5月12日金曜日の夜。翌日には世界中で感染が報告され、週明けの15日、月曜日には日本でも多数の被害がみつかっています。
内容は感染初期の5月13日の被害状況なので、実際には以下のホワイトハウスの発表以上、さらに拡大している事が想定されます。
- JPCERTコーディネーションセンターによると、日本では日正午時点で約600カ所、2000端末が感染
- 法人、個人事業主、個人問わず感染が確認されている
- 日本では日立製作所、川崎市上下水道局、JR東日本高崎支社など600か所・2000端末以上が感染
- 全世界では150か国にも及び、30万件以上の被害が出ていると推測されている(米ホワイトハウス発表)
6つの感染対策
大前提として、ウィルスの感染を100%防ぐ対策は世の中にはありません。感染する時にはどんなに対策をしていてもかかってしまいます。
米国国家安全保障局(NSA)も万全のセキュリティ対策が施されたはずですが、ハッキングされてしまいました。
大切なのは、WannaCryなどのウィルスは、対策をしっかり行えば、99%に近い確率で感染を防ぐ事ができるという事です。
具体的な方法をご紹介していきます。
感染防止は3種類
■インターネットの出入口で侵入を防ぐ
方法:UTMの設置
内容:メールセキュリティ対策・不正侵入対策
■PCなど端末ごとに防ぐ
方法:ウィルス対策ソフトによるセキュリティー強化
内容:ランサムウェア対策機能つきのセキュリティー対策ソフトをインストール。一般的な対策方法
■セキュリティ意識の醸成
方法:標的型攻撃メール訓練サービス・情報セキュリティeラーニング
内容:メール受信者となる個人の意識を改善。不審なメールを見極め、添付ファイルを開かないセキュリティ意識を醸成する
具体的な6つの対策
- ウィルス対策ソフトをインストール。定義ファイルを最新の状態に保ちセキュリティを強化
- OSおよび利用ソフトウェアを最新の状態にする
- 法人の場合は、社員への注意喚起・研修を実施
- 心当たりのないメールに添付されたファイルは、開く前に添付ファイル(メール)の送信者に対して電話等で確認
- 定期的にPCのデータをバックアップを取得する
- バックアップを取得するHDDなどの機械は、バックアップ取得時以外は接続しない
個人|セキュリティ対策ソフトで感染防止
ウィルス対策ソフトの中で、以下の定番ソフトは対策が発表されています。こちらのソフトを使っていたとしても、最新のバージョンを保っておく必要があります。
他のセキュリティ対策ソフトも対応はしていますが、今回のランサムウェアに対して研究した結果と対策の公表、セミナーなどを開催している「ウィルスバスター」「カスペルスキー」を、おすすめします。
知名度は他ソフトに比べて低いですが、価格はESET NOD32アンチウイルス 4 が1番安いです。
また、「インターネット上の無料セキュリティ対策ソフトを入れているから大丈夫」というのは大きな間違いです。
例えるなら、雪が降る真冬の屋外で、「パンツだけ履けば大丈夫」と言っているのと同じレベルです。
法人|端末の感染防止とセキュリティ意識の醸成
法人がランサムウェア「WannaCry」に感染したら大変な事になります。PCのデータが消えるだけでなく、個人情報が漏洩する可能性もあり、もし漏洩したら会社が倒産する可能性もあります。
多少のコストがかかっても、リスクを最小限に抑える事が必要でしょう。
感染を防ぐためには、端末の感染防止と個人のセキュリティ意識の情勢が必須です。
■端末はセキュリティ対策ソフトかUTMで感染防止
法人場合、端末への感染防止は会社の規模によって最適な対策が変わります。
個人商店や小規模の会社では、上記でお伝えしたウィルス対策ソフトでのセキュリティーで十分です。
法人の場合はUTM(置き型)での対策が一番です。セキュリティ対策の内容が良いのと、各PCで対策するのではなく、大元の回線から一括でウィルスを防ぐ事ができるので、PC以外端末に影響を及ぼす心配がありません。設定も一括で行うことができます。
法人はウィルス感染のリスクが大きいので万全の対策が必要です。
UTMのデメリットは端末代金が高額という事です。平均的なモデルでも60〜70万します。リース契約も存在しますが、分割にするだけで、結局支払う金額は変わりません。
ランサムウェア「WannaCry」に対応しているモデルは以下のモデルがあります。
- SonicWALL
- BizBoxUTM SSB
- CheckPoint
- WatchGuard FIREBOX T10
■個人のセキュリティ意識
個人のセキュリティ意識の醸成は難しいです。サラリーマンであれば今まで散々言われている事なので「あー。また言ってるよ」と思う人が大半で、事の重大さに気づいているのは一部の人間だけです。
今回のランサムウェア「WannaCry」の感染を防ぐ為には、「今までの問題とは比べ物にならない問題である」という事を改めて理解させる必要があります。
その為には、特別研修を開いたり、具体的な事例を説明して、自分たちに実際に起きたらどうなるか?という所までしっかり説明する必要があります。
感染した場合の対処方法
上記は実際に感染した際のPC画面です。
感染したコンピュータをできるだけ早くネットワークから切り離します。
Windows ネットワークの脆弱性を利用して、ネットワーク内のコンピュータに感染する為、何よりも早くネットワークから切断して感染拡大を防ぐ必要があります。
インターネットを有線接続している場合は、LANケーブルを抜いてください。
Wi-Fiなどの無線で接続している場合は、PC側の無線を切ります。もしPCがロックされ操作が効かない状態になってしまった場合は、無線ルータの電源を切ってください。
復元方法
復元方法の一覧です。
今回の被害に対する確かな復元方法は見つかっていません。PCを初期化して、バックアップから復元する方法がメインとなります。
PCの初期化
感染したパソコンをインターネットが繋がらない環境で初期化(リカバリー)。パソコンの初期化後、事前に取得しているバックアップから復元してください。
WannaCryの影響で自分でバックアップが出来ない可能性があります。その場合は、有料ですがPC修理やリカバリーを行なっている業者に依頼する他に方法はありません。
仏ハッキングチームの復旧ツール
また、「ワナキウィ(wanakiwi)」と名付けられた復旧ツールが、フランスのハッカーチームからソフトウエア共有サイトのギットハブで無料公開されました。
ただし、復元効果が確認されたパソコンはOSがウィンドウズXP、2003、7などで、ワナクライに感染してから再起動をかけていない機種に限られるとの事です。
ウィルス対策もハッキングも紙一重なのは解りますが、実際にこのソフトを使った事例がほとんどない事から、こちらのハッカーチームによる2次的被害も注意しなければいけません。
感染したら既に遅い為、やはり感染を予防する必要があります。
ビットコインを支払い駆除する
実際に脅迫に応じてビットコインを支払った場合、PCからウィルスを駆除できる可能性は低い。シマンテック公式アカウントが、実際に支払った場合にどうなるか言及しています。
WannaCryは、ビットコインの口座が3つしかありません。それによって誰が身代金を支払ったのか特定ができないため、ファイルを元に戻すことができないと言われています。
支払う場合には、「支払いをする事」「振込のための個人情報」を送信するように表示されるケースも発生しています。
支払ったからといって復元される保証はありません。
まとめ
実際に自分の目で見ないと実感しにくい事とは思いますが、今回の件は対策が必ず必要な問題です。
その強い感染力で、大企業のみでなく中小企業や個人にまで感染が拡大している事で各メディアが注意喚起を行っています。
テレビの中での出来事と考えず、ウィルス対策ソフトでいいので必ず対策を行うことが大切です。
コメント