すでに何らかの報道で目にしている人は多いと思うが、ランサムウェア「WannaCrypt」が世界各国で大きな被害をもたらしている。主に法人を対象に大規模な攻撃が行われており(もちろん個人にも)、約80%がメールと添付ファイルによって拡散中だ。日本でも多数の検出報告があるため、メールチェックが急増する週明けの5月15日月曜日は特に注意してほしい。

WannaCryptは、感染したPCのファイルを暗号化し、解除のために身代金を要求するランサムウェアだ。トレンドマイクロのセキュリティブログによると、WannaCryptは2017年4月に、DropboxのURLを悪用して拡散する暗号化型ランサムウェアとして確認されたとのこと。

WannaCryptに感染すると表示される画面の一例

今回の世界的な被害は、Windows OSのファイル共有サービス(SMB v1)が抱える脆弱性「CVE-2017-0145」を悪用し、感染を広げている。1台のPCに感染すると、Windows OSのファイル共有機能を介して、ネットワーク内のPCにも次々と感染するからタチが悪い。身代金を要求する画面上のメッセージは、日本語にも対応している。

ただしこの脆弱性は、Microsoftが2017年3月にリリースしたセキュリティ情報「MS17-010」、およびセキュリティ更新プログラム「4013389」にて対策済みだ。また、5月14日に投稿された日本マイクロソフト「TechNet 日本のセキュリティチーム」ブログでは、「現時点では WannaCrypt で使用されている悪用コードは Windows 10 には無効であることを確認しています」とされている。あくまで「現時点」なので、油断禁物なのは言うまでもない。

従って脅威にさらされるのは、
・Windows 8.1以前のWindows OS(サーバーOSについては割愛)
・セキュリティ更新プログラム「4013389」を未適用
・「SMB v1」が有効
という環境だ。

WannaCryptが進化し、Windows 10をターゲットにするようになれば、当然だがWindows 10環境でも対策を講じる必要がある。

まずはセキュリティ更新プログラム。例外的に「Windows XP」用を配布中

ではどんな対策をすればいいのか。

とにもかくにも、セキュリティ更新プログラム「4013389」の適用が第一だ。すぐにWindows Updateを実行してほしい。Microsoftは影響の大きさ考慮し、すでにサポートが終了したWindows XP、Windows 8、Windows Server 2003についても、例外的にセキュリティ更新プログラムをリリースした。

そのうえで、以下の対策を推奨している。

・セキュリティ対策ソフトウェアを最新の状態にする。
・SMB v1を無効化する。方法については「マイクロソフト サポート技術情報 2696547」を参照のこと。
・外部ネットワークからのアクセスに対して、SMBが標準で利用する「TCP 445」ポートをルータやファイアウォールでブロック(遮断)する。

参考までに、Windows 10においてSMB v1を無効化する方法は、別記事「Windows 10ミニTips 第153回 セキュリティレベルを高めるために、SMBバージョン1を無効化する」を参照してほしい。

メールの添付ファイルを開かない、クリック/ダブルクリックしない

上記の対策は根本的なものだが、企業では一個人ユーザーが実行できない場合も多いだろう(セキュリティ管理者のみ実行可能)。

オフィスの一個人としてできるのは、メールの添付ファイルをクリック/ダブルクリックしないこと、クラウドストレージやファイル転送サービスで送られてくるファイルをクリック/ダブルクリックしないことだ。まずはシステム管理者に問い合わせ、オフィスのPC環境が対策済みであることを確認したうえで、上記のようなファイルを開くようにしてほしい。

システム管理者がいない場合、さらにセキュリティ更新プログラムの適用も個人ベースで運用しているような場合は、真っ先にWindows Updateを実行する。次に、セキュリティ対策ソフトウェアを起動して、マルウェア定義ファイルなどを手動で更新しておこう。

余談だが、この記事を読んでくださった読者諸氏の多くは、セキュリティに関する情報感度と知識をお持ちだと思う。ぜひ、周りの人たちにも注意を促してもらえるようお願いしたい。