英国やドイツなど世界中で大規模な攻撃が確認されている暗号化型ランサムウェア「Wanna Cryptor」について、IPA(独立行政法人 情報処理推進機構)が14日、緊急記者説明会を実施。IPAの江口純一セキュリティセンター長は、週明けの5月15日がサイバー攻撃の"特異日"になる可能性があるとして注意を喚起した。

【関連記事】5月15日月曜日は特に厳重注意! - ランサムウェア「WannaCrypt」の攻撃

セキュリティセンター長の江口純一氏

ランサムウェア「Wanna Cryptor」の大規模攻撃が世界中で発生

5月13日頃から、Wanna Cryptorによる世界規模の攻撃が続いている。カスペルスキートレンドマイクロのセキュリティブログによると、英国で医療機関のPCが感染し、急患対応や手術ができなくなったほか、製造業の工場で操業が停止するなど、深刻な被害が発生した。また、英国に限らず、スペイン、ドイツ、ロシア、ウクライナ、インドなど74カ国で感染が報告されているという。

ランサムウェアは、感染したPCのファイルを暗号化し、解除のために金銭を要求するマルウェア。IPAでは、今回観測されているランサムウェアは、Wanna Cryptor(WannaCrypt、 WannaCry、WannaCryptor、Wcryなどとも呼ばれる)の亜種とみている。

Wanna Cryptorは、Windows OSのファイル共有サービス(SMB v1)の脆弱性「CVE-2017-0145」を悪用する。この脆弱性はWindows 10より前のOSに存在し、3月15日にマイクロソフトが修正プログラム「MS17-010」をWindows 8.1以前のWindows向けに提供していた。なお、今回の大規模攻撃を受け、マイクロソフトは5月13日、緊急措置として、すでにセキュリティのサポートも打ち切っているWindows XPやWindows Server 2003などにも修正プログラムを提供している。

Wanna Cryptorに感染した場合、端末内のデータが暗号化され、拡張子が「.WCRY」へ変換される。IPAによると、Wanna Cryptorはひとつの端末内にとどまらず、同じネットワーク内の端末に同様の脆弱性がないかを探し、脆弱性があった場合はその端末へ侵入。同じように端末を感染させ、自身の活動領域を広げていくため、特に企業では被害が拡大する恐れがある。

カスペルスキーのセキュリティブログによると、感染後には「あなたの重要なファイルは暗号化されました」という警告文が書かれた壁紙に置き換わる。この警告文は複数言語での表示に対応しており、この中には日本語も含まれている。要求額は、300米ドル相当のビットコインという。

ランサムウェアへの対応策を確認

IPAが14日にリリースした、ランサムウェアへの対策概要

IPAの江口純一セキュリティセンター長は、今回確認された攻撃が、従来、主に個人を狙ってきたランサムウェアの攻撃から「一歩進化したもの」と注意を喚起。その理由は「既に修正プログラムが出された脆弱性を悪用し、組織を狙い、かつ世界で同時多発的に攻撃があったこと」で、警戒すべき攻撃とした。

この攻撃は日本も対象になっているという。江口氏は「ちょうど週末に当たり、14日時点では国内での感染報告は挙がっていない。15日の始業後からトラブルが起こる可能性があり、業務開始前に対策を講じて欲しい」と呼びかけた。

IPAが推奨する対策は、下記の3点。

  1. 不審なメールの添付ファイルの開封やリンクへのアクセスをしない

  2. 脆弱性の解消 - 修正プログラムの適用

  3. ウイルス対策ソフトの定義ファイルを更新する

江口氏は、感染経路がメール添付ファイルだと考えられるため、不審なメールにはいっそう注意すべきとし、「メール内にURLが記載されていたり、添付ファイルが付いていたりするが、業務に関係ないものは徹底的に排除すべき」と呼びかけた。そして、始業時のメール確認作業前に、2および3の作業を徹底することを推奨。また、一度感染するとデータが暗号化されるため、「事前にデータのバックアップをとり、ネットワークと切り離されたストレージに保存しておくことも有効」とした。

今回の攻撃で使われたWanna Cryptorの感染環境について、江口氏は「XPを使っていたり、あまりOSアップデートをしていない環境だったのでは」と推測している。「IPAとしては、脆弱性が残ってしまうサポート切れ製品の利用は控えるよう呼びかけてきたが、XPでしか動かない業務システムなどもあり、難しいところ」(江口氏)。

また、「15日が(サイバー攻撃的な)"特異日"となるかは、実際に15日にならないとわからないが、海外報道を踏まえるとあってもおかしくないと考えている。日頃から注意していると思うが、さらに注意して欲しい」とした。

なお、Wanna Cryptorで悪用されている脆弱性はWindowsにおける脆弱性のため、(同脆弱性を悪用した攻撃による)AndroidやiOSを搭載したスマートフォンなどへの影響はないとした。