お前の大切なデータは預かった「ランサムウェア」
世界中で“身代金”を要求した「WannaCry」
2018年07月21日 12時00分更新
2017年に身代金を要求しまくった「WannaCry」
2017年4月25日、トレンドマイクロが“DropboxのURLを悪用して拡散する暗号化型ランサムウェア”を公式ブログで報告しました。その後の2017年5月12日に、類似のものとみられる大規模攻撃がアジアで発生。マルウェアは「WannaCry」と呼ばれ、世界で猛威をふるいました。
WannaCryはWindowsシステム向けのランサムウェアで、SMBの脆弱性「MS17-010エクスプロイト」を悪用し、リモートでシステム権限にアクセス。感染するとOffice文書や画像、動画、圧縮ファイルなど、システム内の多種多様なデータを暗号化し、ユーザーが使えない状態にしてしまいます。そしてデータを元戻す復号化の条件として、28言語で暗号通貨“ビットコイン”を要求するのです。
攻撃の起点となるMS17-010エクスプロイトは、大規模攻撃が発覚する1ヵ月以上も前の2017年3月15日の時点でマイクロソフトによって報告され、セキュリティー更新プログラムが配布されていました。ですがセキュリティー更新を怠り古いシステムを使い続けていた環境から感染が拡大。加えて攻撃に使用されたSMBプロトコルは企業などで多用されていたことから、感染は世界各国の大手メーカーをはじめインフラシステムや政府系機関などにも広がり、世界的な社会問題となりました。
攻撃にはアメリカ国家安全保障局(NSA)との関係が噂されるハッカー集団「The Equation Group」が開発したとされる脆弱性攻撃ツール「EternalBlue」が使用されていることが発覚。EternalBlueはThe Equation Groupとは別のハッカー集団「The Shadow Brokers」に盗み出され、2017年4月14日に250MBのソースコードがオンライン上で公開されました。マカフィーブログやESET公式ブログなどでは、EternalBlueによるワーム型自己増殖機能がWannaCryの感染被害を拡げたと指摘しています。被害にあったOSが2017年現在で旧バージョンとなっているWindows 7だったことから、事態を重く見たマイクロソフトは対応を発表、当時既にサポートが終了していたWindows XP/8.1未適用のWindows 8/Windows Server 2003に対しても、特例でセキュリティーパッチを提供しました。
一連の騒動はプログラム内に攻撃の暴走を防ぐ目的とみられる「キルスイッチ」が発見されたことで沈静化。その後マイクロソフトはFacebookと共同で一連の騒動を調査し、犯行にオンライン犯罪組織「Lazarus」を通じて北朝鮮が関わっていると公式ブログで発表。シマンテックも2017年5月22日付けの公式ブログで、Lazarusの関与を指摘しています。
2017年5月15日のカスペルスキー公式ブログによると、1日で74ヵ国/4万5000件の攻撃を観測したといいます。事態が収束した後となる2017年12月26日のマカフィーブログでは、1日で30万台以上のコンピューターへ感染し、最終的に150ヵ国で被害が発生したと報告されています。
一躍有名になった身代金を要求する「ランサムウェア」攻撃
WannaCryの出現によって一躍有名になったマルウェアが「ランサムウェア」。主な動作は感染したシステムを使用不能にして、身代金(ランサム)を要求するというものです。
感染経路は初期のWannaCryのように、不正なURLリンクからの侵入。そのほかメールの添付ファイルや改ざんされたウェブサイトからのダウンロード、攻撃目的で細工されたサービス要求などが、JPCERT/CCの特設サイトで紹介されています。
ランサムウェアに感染した場合、有効な回復手段として2017年12月5日のマカフィーブログでは、OSのシステム復元/No More Ransomプロジェクトサイトの活用/各セキュリーベンダーの回復ツールを紹介しています。バックアップ専門ツールのAcronisでは、WannaCryの攻撃に対して完全復元に成功したと、2017年5月17日付けの公式ブログで報告しています。
一方で名前の通り身代金を支払うという手段では、解決はあまり期待できない様子。2016年11月17日付のカスペルスキー公式ブログによると、「被害者の3人に1人が、ファイルを元の状態に戻してもらうのと引き換えに要求された身代金を支払いましたが、そのうちの20%近くはファイルを取り戻すことができませんでした」という事実を報告しています。それどころか同ブログでは「身代金を支払えば、市場規模が拡大し、さらに多くのマルウェアが作られる」と指摘しており、金銭での解決に否定的な見解を示しています。
ランサムウェアの手口や目的も多様化しています。一般的なデータの暗号化やシステムのロックだけでなく、電話帳のアドレスや写真などを漏洩させると脅迫するモバイル向けのランサムウェアが発生したほか、人気オンラインサバイバルゲーム「PUBG」のプレイを要求するという風変わりなタイプも存在するようです。
この連載では、カクヨムで開催中の『サイバーセキュリティー小説コンテスト』を応援するべく、関連用語やその実例を紹介していきます。作品の深さを出すためには単に小説を組み立てるだけでなく、サイバーセキュリティーに関する知識も必要。コンテストに参加するな悩める小説家も、そうでない方も、改めてサイバーセキュリティー用語をおさらいしてみましょう。
サイバーセキュリティー小説コンテスト
ジャンル
サイバーセキュリティに関連する小説であれば、SF、異世界もの、体験などジャンルは自由
応募
プロアマ問わず。カクヨムへの会員登録が必要
大賞1名
賞金100万円+書籍化
スポンサー賞
マイクロソフト賞、サイボウズ賞、日立システムズ賞 各1名
応募期間
3月31日~8月31日
主催
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
運営
株式会社KADOKAWA
後援
サイバーセキュリティ戦略本部(協力:内閣サイバーセキュリティセンター NISC)
協賛
日本マイクロソフト株式会社/サイボウズ株式会社/株式会社日立システムズ/株式会社シマンテック/トレンドマイクロ株式会社/株式会社日本レジストリサービス(JPRS)/株式会社ベネッセインフォシェル
この連載の記事
-
第10回
デジタル
82億のBluetoothデバイスに潜むセキュリティーホール「BlueBorne」 -
第9回
デジタル
冬の平昌を襲った「GoldDragon作戦」 -
第7回
デジタル
「iPhoneセキュリティーに“裏口”を作れ」 FBIの要求がアップルを怒らせた -
第6回
デジタル
日本年金機構の狙い撃ちで前代未聞の情報流出を招いた「Blue Termite」 -
第5回
デジタル
中国発信で、2億5000万台のPCに被害が出たといわれる「Fireball」 -
第4回
デジタル
LINEの情報を狙うイタリアンスパイ「Skygofree」 -
第3回
デジタル
官公庁にも広まっていた「Antinny」 -
第2回
デジタル
メールの一斉送信でサーバーがダウン「Melissa」 -
第1回
デジタル
ネットへの好奇心で世界が大混乱した「Morris worm」 -
デジタル
ラノベに使えるサイバーセキュリティーネタ - この連載の一覧へ