身代金型ウイルスのランサムウェア。5月に「WannaCry」が世界的に猛威を振るい、感染者の多くが身代金を振り込む事態となった。WannaCryは、標的型の攻撃ではない。無差別に感染を拡大させていき、身代金を獲得していく。まさに“ランカク”ウェアだ。WannaCryはすでに鎮静化しているものの、今後も凶悪な亜種が登場する可能性は高い。IT業界は今回の騒動をどのように捉えるべきか。ランサムウェアはさらに、どのような進化を遂げるのか。WannaCryが残した爪痕から、ランサムウェアの今後を分析する。(取材・文/畔上文昭)
5月12日、WannaCry本格始動
5月12日の金曜日、ランサムウェアのWannaCry(WannaCrypt、WannaCryptor、Wcry)が猛威を振るいだした。英BBCの報道を受け、内閣サイバーセキュリティセンター(NISC)が、13日にランサムウェアへの注意喚起をTwitterでツイート。セキュリティベンダー各社のプレスリリースが続く。情報処理推進機構(IPA)が14日に緊急記者発表。政府も動いた。15日、首相官邸の危機管理センターに情報連絡室を設置し、有事に備える。そのさなか、日立製作所が被害を受けたとの報道で、ことの重大さが伝わり始める。ランサムウェアが、一般に広く知られるきっかけをつくった。
WannaCryが利用するのは、「Microsoft Windows SMB サーバのセキュリティ上の脆弱性 MS17-010」としてマイクロソフトが公表しているWindowsのぜい弱性である。すでにサポートが終了しているWindows XPなども対象であり、対応に追われたマイクロソフトは5月18日に予定していた記者発表を延期するほどだった。
大騒ぎとなったが、国内の被害は少なかったといわれている。「日本にとって幸いだったのは、感染が本格化したのが欧州のビジネスタイムだったこと」も要因の一つだと、S&Jの三輪信雄・代表取締役社長は考えている。日本では深夜で多くのPCが起動していなかった。
“グローバル”が標的
WannaCryが最初にターゲットとするのは、TCPポート445が空いていて、グローバルIPアドレスを使っている(インターネットに直接接続している)PCである。そのPCに対象のパッチがあたってなく、ぜい弱性があれば、WannaCryに感染してしまう。なお、WannaCryは感染の拡大において、TCPポート137から139を使用する。
日本のユーザー企業は、一般的にブロードバンドルータを経由してローカルIPアドレスを使用しており、グローバルIPアドレスを使用していない。ローカルIPアドレスにはWannaCryのアタックが届かない。国内で被害が少なかったのは、そのためだともいわれている。
問題は、グローバルIPアドレスを使っているPCにある。例えば、モバイルWi-FiルータでグローバルIPアドレスを使用する契約をしている場合。そこに接続するPCはグローバルIPアドレスを使用することになる。
Wi-Fiルータ経由で感染したとしても、そのPCが社内ネットワークにアクセスできなければ、社内に感染が広がることはない。日本の企業が外部からのアクセスを厳しく制御していることも、被害が少なかった要因の一つとなる。ちなみに、VPN(仮想専用線)を使用しているPCがWannaCryに感染すると、社内のPCやサーバーへと拡大していくことになる。Wi-FiルータがグローバルIPアドレスを使用する契約になっていなければ、WannaCryの被害は避けられた。
こうした経緯から、モバイル用途のPCが最初の1台として感染の疑いがかけられる。ほかに考えられるのは、工場などに置いてあって、グローバルIPアドレスを使用する特殊用途のPC。また、海外ではグローバルIPアドレスを使用するケースが多い地域もあるため、海外拠点経由で感染が広がることも考えられる。
インターネットとは接続していない閉鎖型ネットワークでも安心できない。「閉鎖型ネットワークのはずが、利便性を上げるためにサーバーを経由して、インターネットに接続していたというケースはありがち。例えば、韓国軍が昨年、軍内部専用ネットワークがサイバー攻撃を受けて、軍事情報が流出するということがあった。閉鎖型ネットワークのはずが、外部に接続しているネットワークと軍内部専用ネットワークの両方に接続しているサーバーがあったのが原因。同様のケースは、企業でもあると思われる」と、ラックの川口洋・サイバー・グリッド・ジャパン サイバー・グリッド研究所長 チーフエバンジェリストは指摘する。地方自治体でもネットワーク分離によるセキュリティ強化が行われたが、どこまで維持できるかが今後の課題となるかもしれない。
WannaCryに感染したPCは、インターネット上のほかのPC、そして社内のPCへと感染を広げていく。そして、身代金要求の画面を表示する(画面1を参照)。こうなったら、感染したPCはほぼあきらめることになる。
画面1 WannaCryに感染したときに表示される画面。多言語に対応している。
画面下で300ドルを要求している。画面左下には問い合わせ先もある(提供:ラック)WannaCryは“ワーム”
WannaCryの特徴の一つは、自己増殖するワームタイプであるということ。
ワームが最初に大きな話題となったのは、2001年の「Code Red(コードレッド)」や「Nimda(ニムダ)」である。そして、03年の「SQL Slammer」、08年の「Conficker(コンフリッカー)」と続いた。どれも爆発的に広がった。
日本の企業でローカルIPアドレスが使われる理由の一つは、こういった過去に猛威を振るったワーム対策にある。「WannaCryは08年のConfickerと似ている。Confickerは感染活動にUSBメモリなどのリムーバブルメディアを使用する。Windowsのファイル共有のぜい弱性を突くワームで、多くの企業が被害に遭った」と、ラックの川口チーフエバンジェリストは当時を振り返る。Confickerも、感染活動にグローバルIPアドレスを使用するため、国内ではセキュリティ対策としてブロードバンドルータ経由でローカルIPアドレスが使われるようになった。
Confickerが沈静化した以降は、ワームはあまり話題にならなくなった。
「ワームが使われなくなったのは、攻撃者の行動が変わったため。ターゲットを決め、ひっそりと情報を盗むようになったことから、無差別に拡散するワーム型は必要とされなくなったのである」と、マクニカネットワークスの柳下元・技術統括部セキュリティサービス室室長代理は説明する。WannaCryは久しぶりのワームというわけである。無差別に拡散するワームとランサムウェアは、目的のベクトルが一致するため、今後はさまざまなワームが登場することになるだろう。
なお、ウェブサイト「SHODAN」で検索すると、約10万台のコンピュータでTCPポート445が空いていて、グローバルIPアドレスを利用していることがわかる(画面2を参照)。これらのコンピュータは、ネットワーク共有機能を使用しないなど、適切なセキュリティ対策が施されていると考えられるが、WannaCryと同様の攻撃を今後も受ける可能性が大きい。
画面2 グローバルIPアドレスを利用していて、TCPポート445が空いているPCなどのコンピュータは、ウェブサイト「SHODAN」で簡単に検索できる。同サイトによると、国内で10万台以上がグローバルIPアドレスを利用しているkill switchが話題に
WannaCryでクローズアップされたキーワードに「kill switch」がある。kill switchは、インターネット上に存在しないURLへのアクセスを試み、返答があるとWannaCryの活用を停止させる。URLにアクセスして返答がなければ、インターネットに直接接続されているPCと判断して、ランサムウェアの活動を開始する。
kill switchを搭載するのは、サンドボックス対策といわれている。サンドボックスとは、マルウェアや疑わしいファイルを自由に活動させるための仮想環境。悪意の有無を判定するために使われる。インターネット上に存在しないURLでも、存在するかのように返答するため、WannaCryがサンドボックスかどうかの判定に使用したというわけだ。
WannaCryの活動を止めるには、kill switchが指定するURLのサイトをインターネット上に用意すればよいことから、脅威が報告された後に同サイトが立ち上がった。WannaCryが沈静化するのが早かったのは、そのためだともいわれている。
ただ、kill switchを使用するのは、WannaCryが初めてではない。「今回、WannaCryではkill switchが話題となったが、そこばかり注目すると、本質を見失ってしまう。サンドボックスをすり抜ける同様の手法はほかにもある。kill switchだけではない。WannaCryの亜種では、違う手法を使ってくるのではないか」と、マクニカネットワークスの柳下室長代理は考えている。なお、kill switchを使用しないWannaCryの亜種も登用している。
[次のページ]支払い可能な身代金の額
