マイクロソフトが、奇妙なことに丸々1か月分のアップデートをスキップした後、3月にひっそりとパッチを当てた脆弱性が、英国、スペイン、ロシア、日本、米国を含む少なくとも99か国に対する世界的なランサムウェア攻撃を仕掛けるために利用された。
この脆弱性は、Shadow Brokersグループが公開するまで、おそらく数か月から数年にわたってNSAによって悪用されていました。公開されると、3月以前からパッチが適用されていないコンピュータに対して、誰でもこの脆弱性を悪用することができました。
WannaCryランサムウェア
ランサムウェアは、コンピュータに感染し、ファイルを暗号化した後、復号と引き換えに一定額の金銭を要求するマルウェアの一種です。つまり、ファイルに再びアクセスできるようにする代わりに「身代金」を要求するのです。
パッチ未適用のシステムでこのWindowsの脆弱性を悪用し始めたグループの一つが、ランサムウェア「WannaCry」を作成しました。このマルウェアは、Wcry、Wana Decrypt0r、WannaCryptorとも呼ばれています。
AvastやKasperskyといったウイルス対策企業は、本日、通常よりも多くのユーザーがこのランサムウェアの攻撃を受けたことを確認しました。このランサムウェアによる攻撃が最も多かった国の一つはロシアですが、英国の国民保健サービス(NHS)、スペインの携帯電話事業者テレフォニカ、さらには米国のFedExサービスも攻撃を受け、大きな混乱が生じています。
NHSは声明を発表し、このマルウェアはWannaCryに関連していると考えているものの、現段階では患者データが影響を受けたという証拠はないと述べた。ランサムウェアは、3日以内に身代金を支払わない場合は身代金が倍増する旨のメッセージを表示した(身代金は現在300ドル相当のビットコインである)。身代金が支払われずに7日が経過した場合、グループはファイルを永久に暗号化したままにする。
ランサムウェアの成熟期
ランサムウェアはここ数年、急成長を遂げてきました。その理由は単純明快です。ランサムウェアは作成者に利益をもたらすからです。感染したユーザーは身代金を支払うべきではありません。身代金を支払えば、ランサムウェア作成者は他のPCへの感染を拡大し続けることになるからです。しかし、誰もがこのアドバイスに従うわけではありません。ファイルによっては、身代金の額をはるかに上回る価値がある場合もあるからです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
最近まで、ランサムウェアの脅威はそれほど深刻とは考えられていませんでした。特定の種類のランサムウェアの影響を受ける可能性のあるコンピュータの数は、数ヶ月間で数十万台に上りました。これは、世の中に約15億台あるWindows PCと比較すると、それほど多くはありません。最終的には、十分な数のシステムにパッチが適用され、ランサムウェアはそれ以上拡散できなくなるだろうという共通の認識が広まったようです。
以前のタイプのランサムウェアは、悪意のあるメールのリンクをクリックした人や悪意のある広告を見た人など、よりランダムに拡散していました。しかし、今回の最新の攻撃では、ランサムウェアは悪意のある広告やリンクを通じてランダムにユーザーに感染するだけでなく、大規模な組織全体に急速に拡散し、数日、場合によってはそれ以上に業務を混乱させるまでに至ったようです。
Wana Decrypt0rの新バージョンは、数時間で数万台のコンピュータに感染したと報告されています。パッチ未適用のWindowsを使用している医療機器は、この攻撃に対して長期間脆弱な状態が続く可能性が高いため、感染台数はすぐにさらに増加する可能性があります。
このマルウェアがこれほど急速に拡散できた理由の一つは、ネットワーク内でワームのように拡散し、脆弱なシステム上で自己複製するように設計されていたことです。今後、ランサムウェアによる攻撃がこのような形態をとると予想されるのであれば、誰もがこの種のマルウェアに対してより真剣に対処する必要があるでしょう。(また、システムを適時にアップデートする必要もあります。)
WannaCryなどのランサムウェアを防ぐ方法
3月のパッチバンドルをまだコンピュータにインストールしていない場合は、今すぐインストールしてください。システムを最新の状態に保つことは、セキュリティを維持するための最良の方法の一つです。ゼロデイ脆弱性を悪用するマルウェアからシステムを守ることはできませんが、WannaCryマルウェアのように、公開されている脆弱性を悪用するほとんどのエクスプロイトからシステムを守ることができます。
何らかの理由でシステムにパッチを適用できない場合は、最新バージョンの WannaCry やその他のランサムウェアをブロックできることが確認されているウイルス対策ソフトウェアや同様のセキュリティ ソリューションを導入することも、ランサムウェアを阻止する良い方法です。
CiscoのTalos脅威インテリジェンスチームによると、このランサムウェアは開いている139番ポートと445番ポートを探します。組織でこれらのポートを使用している場合は、少なくともシステムにパッチが適用されるまでの間、これらのポートを無効にすることをお勧めします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
