ESET/マルウェア情報局
ランサムウェア「WannaCry」を振り返る
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「改めて振り返る「WannaCry」の危険性とは?」を再編集したものです。
WannaCryとは
ランサムウェアの一種「WannaCry」とは、英語で「泣きたくなる」という意味を語源とするマルウェアのこと。2017年5月ごろから急速に被害を拡大させ、世界150ヵ国以上、23万台以上のパソコンがWannaCryに感染したとされる。日本でも、大手企業だけでなく中小企業も標的になり、一般ユーザーにも被害が及ぶなど、社会問題化した。新聞やテレビでも数多く取り上げられたことからも、記憶に残っている方も少なくないだろう。
ランサムウェア(Ransomeware)とは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた造語だ。ひとたび感染すると、ファイルやストレージが暗号化され、復号するために身代金を要求されるものが多くを占める。WannaCryも同様に暗号型のランサムウェアで、感染するとファイルが暗号化され、開けなくなる。さらに、感染したパソコンの画面上には、ビットコインで300ドル(およそ3.3万円)の支払いを求める内容が表示される。身代金の金額は当初300ドルだったが、その後600ドル(およそ6.6万円)に値上げされたとする報告もあった。
WannaCry以前にも、ランサムウェアはたびたび猛威を振るっていたが、WannaCryの感染規模は非常に大きく、ランサムウェアの名を世に知らしめる結果となった。WannaCryの被害が拡大した背景には、Windows OSのSMB v1における脆弱性がある。被害拡大前の2017年3月、マイクロソフト社は修正パッチを提供していた。しかし、アップデートされていないパソコンで感染が拡大し、世界中を混乱に陥れた。当時、マイクロソフト社はすでにサポートを終了していたWindows XPに対しても、緊急パッチを提供している。
WannaCryが自己増殖のマルウェアだったことも、被害拡大を後押しした。メールを介して社内のパソコンを一台でも感染させることができれば、ネットワーク経由で感染は広がる。WannaCryによってファイルサーバーのすべて、社内のほとんどのデータが暗号化されるという被害も確認されている。
WannaCryの発生事例
WannaCryは、今まで標的にされづらかった中小企業や個人が被害に遭ったことで注目された。しかし、大企業にも甚大な被害をもたらしていることを忘れてはならない。ここでは、大きな企業で発生した代表的な事例を紹介する。
・国内大手総合電機メーカー
2017年5月、大手総合電機メーカーの欧州の現地法人における検査機器を感染源として、社内ネットワークを経由して次々とWannaCryが増殖。世界中の支社に被害が拡大していった。わずか3時間ほどで脆弱性対策が施されていないすべての機器に感染が広がったとされる。その影響は広範囲に及び、情報システム部門が管理する業務用サーバーやパソコンに加え、工場内の生産管理システムや在庫管理システム、オフィスビルの入退室管理システムにまで多岐に渡った。最終的に、メール送受信の不具合や取引先との受発注システムにも拡大し、おおむね復旧まで5日を要する事態となった。
・国内大手小売企業
WannaCryに感染すると、画面にはビットコインで300ドルの支払いを要求する画面が表示される。2017年5月、大手小売企業では、WannaCryへの感染でこの画面が店頭のディスプレーに表示されてしまった。消費者の目に直接触れる画面上での出来事だったため、SNSで瞬く間に拡散。こうして、同社はブランドイメージを毀損する事態に陥った。
・国内大手自動車メーカー
2015年6月、大手自動車メーカーの工場においてWannaCryの感染が発覚。感染源は、マイクロソフト社が提供した修正パッチを適用できなかった、古いパソコンだったとされる。原因となった古いパソコン以外ではWannaCry対策を講じていたものの、工場設置のものまで目が届かなかったことが背景にある。このインシデントにより、1日あたり1000台の生産に影響が生じた。
・英国の国民保健サービス
海外の事例のなかには、国全体に大きな影響を与えたものもある。英国の医療団体用システムを提供する公的機関がWannaCryの被害に遭遇。国内のネットワークに繋がる医療機関のシステムにWannaCryの感染が広がった。カルテのデータベースや検査結果にアクセスできないといった障害が発生した。国民の健康と命を守る医療機関が感染したことで、国民に困惑が広がった。
近年のWannaCryをはじめとしたランサムウェアの動向
2017年に流行したWannaCry、その亜種は延べ6万種類を超えるなど、その活動は今なお衰えていない。WannaCryと同じく、SMBの脆弱性を突く攻撃手法のランサムウェアも多数出現している。2019年には米国で「Maze」と呼ばれるランサムウェアの被害が数多く報告された。Mazeは、データを暗号化するだけではなく、盗み出すこともある。そのため、身代金の支払いを拒否した企業のなかには、データが不正に公開されてしまったところもある。
攻撃側からすると、ランサムウェアは簡単に資金を集めるための有効な手段となり得る。今後は、Mazeのようにファイルの暗号化以外の方法を利用するマルウェアも登場も予想される。ビットコインに代表される、匿名性の高い決済手段の普及も、結果的にランサムウェアによる犯罪を成立させることに貢献してしまっている。今後、WannaCry以上の被害をもたらすランサムウェアが現れる可能性も否定できない。
さらに、リモートワーク普及の裏で増える、セキュリティ対策が講じられていないパソコンがターゲットになることは想像に難くない。働き方や生活様式が大きく変わる状況は攻撃者にとってのチャンスとなる。だからこそ、マルウェアへの対策も適切に講じておく必要がある。
ランサムウェアへの基本的な対策
深刻な被害をもたらすランサムウェアだが、その対策は決して難しいことではない。WannaCryが猛威を振るった当時も、事前にマイクロソフト社が配布していた修正パッチが適用されていたパソコンは、ほとんど被害に遭うことはなかった。ここでは、ランサムウェア対策に有効な対策について解説する。
・OSのアップデート
ランサムウェアはマルウェアの一種である。多くのマルウェアはOSの脆弱性を突くため、修正パッチの適用はランサムウェアの被害を受けないための有効な対策の一つとなる。企業の場合は、最新の修正パッチが適用されていないパソコンを社内ネットワークに接続しないようにするなど、徹底する必要がある。手間と考えず、当たり前のセキュリティ対策を確実に実行することが求められる。
・セキュリティ対策ソフトの導入
未知の脆弱性を利用するゼロデイ攻撃がきっかけで、ランサムウェアに感染する可能性も否定できない。情報機器のセキュリティレベルを高めるために、セキュリティ対策ソフトの導入はもはや必須だろう。セキュリティ対策ソフトを導入していても、定期的に検出エンジン(ウイルス定義データベース)をアップデートしなければ効果は限定的となってしまう。企業であれば、管理者権限で自動更新を有効にし、社内のユーザーが設定変更できないようにするといった対策が求められる。
・バックアップの定期的な取得
多くの場合、ランサムウェアはデータを暗号化し、復号するための鍵を人質に身代金を要求する。つまり、バックアップデータから自力で復旧できるのであれば、身代金の支払いに応じる必要はなくなる。バックアップは、ランサムウェア対策になるのだ。この場合に注意したいのは、バックアップデータの保管場所だ。社内ネットワーク上にあるのであれば、ランサムウェアに感染した際にバックアップデータも暗号化される可能性がある。したがって、バックアップの取得後はデータをネットワークから切り離すといった対策も求められる。
・情報漏えい対策
ランサムウェアは時間を追うごとに進化を遂げ、企業にとってより脅威な存在となってきている。例えば、先述の「Maze」はファイルを暗号化して身代金を要求するだけにとどまらず、データを盗み出してインターネット上に公開する恐れがある。こうした手口に対し、暗号化という対抗策が考えられる。しかし、ドキュメントをすべて暗号化するというのは業務効率を考慮すると現実的ではない。重要なものと指定したファイルの外部への流出を防ぐ、DLP(Data Leak Prevention)ソリューションや外部監視などを導入することが有効な対策といえる。
・クラウドサービスの活用
クラウドサービスを利用していても、社内ネットワークを経由してランサムウェアに感染する可能性が残る。しかし、基本的にクラウドサービスで利用されるサーバーのOSやアプリケーションは、常に最新の状態に保たれている。社内の通信機器すべてのアップデートを徹底することは容易ではないため、セキュリティ強度を高め、管理の手間を省くクラウドの利用は有効な手段といえる。
・リテラシーの向上 、情報収集
最新の情報を収集して整理し、従業員教育などを通じて組織的なリテラシーの向上を実現する必要もある。WannaCryは、メールの添付ファイル経由で拡散されていった。身に覚えのないメールは開かないことはもちろん、怪しいサイトへアクセスしないなど、基本的な対応を遵守するようにしておきたい。また、最近はSNS経由でランサムウェアに感染するリスクもある。SNS上の不審なリンクはクリックしない、といった教育も必要だ。社内の状況によっては、罰則規定を就業規則に盛り込むことも一考となる。
忘れてはいけないマルウェアの脅威
新型コロナウイルスの流行は、人間に直接的に感染するウイルスの恐怖を強く実感させることとなった。そして、奇しくも在宅勤務の拡大やDX(デジタルトランスフォメーション)の進展を機に、コンピューターのウイルスである、マルウェアのリスクも高まっている。中でも、容易に資金調達できるランサムウェアは特に注意すべき存在ともいえるだろう。
私たちが忘れてはいけないのは、WannaCryが教えてくれた教訓だ。被害が大きいランサムウェアも、その対策は決してハードルが高いわけではない。また、バックアップがないデータが暗号化されてしまえば、身代金の要求に応じるしか選択肢がないということ。これらを教訓として、取り得る対策を適切に講じていくことを肝に銘じたい。