トレンドマイクロは5月16日、公式ブログにおいて、ランサムウェア「WannaCry/Wcry」の感染活動の仕組みについて解説した。
同社によると、2016年に確認されたランサムウェア攻撃の拡散手法の約79%がメール経由によるものだったが、現時点ではWannaCryによるメールベースの大規模な攻撃が行われている兆候は見られないという。
今回のサイバー攻撃は広範囲かつ短期間に行われているが、同社はインターネット経由で直接グローバルIPアドレスに対して脆弱性を狙う攻撃が行われていたと見ている。
また、被害を最大化させるにあたっては、感染後に同じネットワーク上に存在するパソコンに今回悪用されているSMBの脆弱性がないかをスキャンして攻撃する「ワーム機能」がサイバー犯罪者によって活用されていると指摘している。
この自動感染、自己増殖ともいえる「ワーム機能」を搭載するマルウェアが猛威を振るうことは、近年ではまれだが、目的を達成させるために効果的な手法を使うサイバー犯罪者の特徴を表しているかもしれないという。