トレンドマイクロは5月13日、公式ブログ「週明け国内でも要注意-暗号化型ランサムウェア「WannaCry/Wcry」において、世界で感染を拡大しているランサムウェア「WannaCrypt」の特徴について説明した。
同社によると、「Trend Micro Smart Protection Network」で観測しているデータでは、2017年5月12日早朝(日本時間)から 13日早朝にかけての24時間だけでも、「WannaCry」が日本国内で数百件検出されていることを確認していることから、注意を呼びかけている。
「WannaCrypt」による攻撃の特徴として、以下を挙げている。
最新の脆弱性情報を悪用
「WannaCry」は、今年3月に明らかになったSMB 脆弱性「CVE-2017-0144」を悪用しており、新たに確認された脆弱性情報を攻撃に即座に利用するサイバー犯罪者の特徴を表しているという。
ワーム機能を搭載
他のPCに感染拡大するためにダウンロードしたファイルを「Microsoft Security Center (2.0)」というサービスとして実行し、脆弱な SMBサーバを探索する。
法人組織が標的に
今回、悪用されている脆弱性を抱えているSMBはネットワークにおいてファイル共有するために使われているサービスであるため、法人組織のネットワークに侵入した場合、ネットワーク上で感染が拡大し、より深刻な被害となる可能性が高くなる。
レガシーシステムが標的
今回悪用されている脆弱性は30年近く前がから利用されているSMB 1.0 に影響があるもので、Windows XP、Windows Server 2003 といった既にサポート終了しているシステムでも利用されている。
マイクロソフトは昨年からSMBv1 の利用をやめるよう注意喚起しているが、システムのアップデートが難しいなど何らかの事情で、以前さまざまな法人組織で古いシステムが利用されていることもこの攻撃の背景にあると推測できるという。
過去の攻撃を悪用
Windows SMBの脆弱性に加え、4月に確認された Dropbox のURLを悪用して拡散する暗号化型ランサムウェアが組み合わさった形で攻撃が行われている。これもすでに利用されている攻撃ツールを再利用するサイバー犯罪者の特徴を表している。
日本語を含む多言語対応した脅迫文
多言語に対応したランサムウェアは今回が初めてではないが、「WannaCry」も 27 の言語に対応しており、その中には日本語も含まれている。
業種特有環境での被害
報道では、病院が被害に遭い急患対応や予定されていた手術ができなくなる、製造業の工場が被害に遭い操業停止に追い込まれるといった被害も報告されており、ランサムウェアの脅威が情報系ネットワークにとどまらないことを示唆しているという。
さまざまなファイルを暗号化
暗号化の対象となるのは、Officeファイル、データベース関連などさまざまなファイルとなっており、ここからも法人が狙われている兆候がうかがえる。