支払い可能な身代金の額

身代金は支払うべきか

　WannaCryでは、身代金を支払っても復号キーは得られなかった。暗号化されたファイルは、諦めるしかなかったのである。
 

復号ツールは期待できない

　WannaCryでは、ウイルス対策ソフトベンダー各社から復号ツールが提供されたが、万能ではなかった。というのも、復号ツールはWannaCryが実行されたPCのメモリ上から秘密鍵を検索し、復号を試みるため。再起動したり、メモリから情報が消えたりしていると復号できないのである。また、復号ツールをつくるのも基本的にはできないと考えたほうがよさそうだ。

　「WannaCryでは、暗号化の秘密鍵がメモリに残るようになっていた。そのため、今回はたまたま復号ツールをつくることができた。一般的にはランサムウェアで復号ツールをつくることはできない」と、トレンドマイクロの岡本勝之・セキュリティエバンジェリストは説明する。WannaCryは詰めが甘かったというわけだ。

　今回はメモリ上に暗号化のカギが残った。WannaCryの復号ツールは、それをベースに復号する。ただ、メモリ上ゆえ、PCを再起動してしまったら、復号できない。「ランサムウェアは、諦めるしかない。火事で燃えてしまったのと同じ。しっかり元に戻る保証があるなら、支払ってもいい」」と、S＆Jの三輪社長は考えている。

実はまったく終わっていない

　WannaCryは5月17日には、ほぼ沈静化した。kill switchで利用するURLが登録されたこと。身代金を支払っても復号できないとわかったこと。ウイルス対策ソフトが対応したこと。要因はいくつかある。国内の被害は少なく、当初の騒ぎのイメージからはほど遠いと感じるほど、感染は広がらなかった。

　しかし、「実はまったく終わっていない。危機的な状況は変わっていない」とS＆Jの三輪社長は警告する。ラックの川口チーフエバンジェリストも、大騒ぎになったWannaCryの被害を受けなかったことで、「油断しそう」と心配する。

　今回のWannaCryは収束したが、根本的な問題が解消されたわけではない。マイクロソフトのセキュリティ更新プログラム「MS17-010」を適用していない場合は、今後も攻撃にさらされる可能性がある。「パッチ（更新プログラム）を適用していないPCはたくさん存在する。約1割という統計があるほど。しかも大企業に多い。個人用PCは自動アップデートでパッチをあてるが、自社開発のシステムが動く企業では、パッチを適用することによるシステムトラブルなどの悪影響を回避するため、放置する。「工場で使用するPCなど、閉じたネットワークで使用するケースではパッチをあてていないことが多い。しかも、マイクロソフトのサポートが終了したWindows XPが稼働している」とS＆Jの三輪社長は指摘する。

　WannaCryはグローバルIPアドレスを利用したが、メールを利用する標的型攻撃タイプであれば被害の大きさが違っていたかもしれない。「WannaCryは初期ではメール型だったとも考えられる。ただ、その根拠はみつかっていない。逆にいうと、メールなら終わっていた。全滅していた」と、三輪社長は指摘する。また、WannaCryの亜種で、ただ潜伏するだけのタイプもみつかっている。

ぜい弱性を突く攻撃も続く

　NSAから漏えいしたとされるぜい弱性情報は、シャドウ・ブローカーズ（Shadow Brokers）と名乗る集団が保有している。「NSAが保有していたぜい弱性情報はほかにもある。シャドウ・ブローカーズは、今後も毎月公開していくとしていて、WannaCryのような問題が、毎月起こる可能性がある」と、S＆Jの三輪社長。セキュリティ危機は続く。

　今回はワーム型。企業のネットワーク内で広がると、大きな被害を受けることにある。「これまではメールで1本釣りだった。今回のWannaCryは投網（ランカク）」と三輪社長は表現する。
 
　今回は、SMBのぜい弱性を利用するだけで感染が拡大した。「パッチがあたっていない企業内のPCは多い。独自開発のシステムを利用していると、パッチをあてにくい」と、マクニカネットワークスの柳下室長代理は現状を危惧する。どうしてもパッチをあてられないのであれば、特定のプログラムしか動かないホワイトリスト型のアプリケーションコントロールを検討するのもいいだろう。

　また、WannaCryで使われるバックドアツール「DoublePulsar（ダブルパルサー）」は、別のウイルスでも使用されており、感染報告がたくさんあるという。バックドアツールは検出が難しく、指令があるまで何もしないため、今も多くのPC上に残っている可能性が高い。

　「ウイルス対策ソフトでは、DoublePulsarを駆除できない。DoublePulsarはメモリ上で動き、ファイルを落とさないため、検知できないからだ」と、マクニカネットワークスの山崎剛弥・技術統括部戦略プロジェクト室主任技師は警告する。再起動しなければ、DoublePulsarはPCのメモリ上に残り、指令を待っているのである。

バックアップは必須

　IT業界としては、ランサムウェアによる今後の被害拡大を考慮し、対応策をユーザー企業に停止していかなければならない。ランサムウェアが常に進化することを考慮すると、やはり、必須となるのはバックアップだ。

　「バックアップ、とくに世代管理ができるバックアップは必要。バックアップがあれば、暗号化されても戻せる。世代管理がされていれば、暗号化される前の世代のファイルを戻せばいい」と、ラックの川口チーフエバンジェリストは語る。

　マクニカネットワークスの山崎主任技師は、クラウドストレージを推奨する。「WannaCryでは、クラウドストレージが効果的だった。ネットワークが別なので拡散しない。クラウドストレージは、基本的に世代管理もしている」。ただし、バックアップは、ランサムウェア対策に有効だが、ほかのウイルスに有効とは限らないため、最適化を考慮しながら投資をしていく必要がある。ランサムウェアは、セキュリティ対策で考慮すべき一つの項目に過ぎない。

パッチの適用をさぼらせない

　WannaCryは、マイクロソフトが提供するパッチを適用しておけば、感染することがなかった。そのため、ユーザー企業ではパッチの適用を基本的な運用とすることが理想である。企業のシステム開発を担うSIerは、パッチの運用に柔軟な環境を構築するべきである。

　「米国はパッチを平気であてる。何か発生したら、対処すればいいというスタンス。一方、日本は悪影響を恐れてパッチの適応を避ける傾向がある。セキュリティ被害よりも、システムの支障を恐れているため。しかし、どちらかが問題なのかは明らか。WannaCryの被害が日本で少なかったのは、偶然が重なっただけ。ユーザー企業は、次の脅威に備えなければならない」とS＆Jの三輪社長。IT業界は、そこに向けてしっかりとメッセージを送らなければいけない。

　モダナイゼーション（最新IT環境の採用）による情報システムの再構築も必要であろう。ウイルスに強い環境とは何か。ユーザー企業には定期的な見直しを促す必要がある。

PCとPCの通信をさせない

　感染拡大を防ぐ方法として、ラックの川口チーフエバンジェリストは「PCとPCの通信をさせない」ことを推奨している。社員が使用するPCは、完ぺきに管理することが難しいため、ウイルスに感染しやすいが、サーバーなら数が少ないので管理しやすい。そのため、PC間通信ができない設定にし、サーバーとプリンタのみの利用とすることが、感染拡大を防ぐための効果的な対策の一つとなる。

　「感染が1台のみであれば、ダメージは軽い。ネットワーク上に拡大すると、チームが全滅してしまう可能性がある。PC間通信を必要とするメッセージアプリなどを使用していないのであれば、設定を見直すべきだ。ランサムウェアだけではなく、標的型攻撃でも同じ。感染拡大を防ぐためにも、PC間通信ができない設定にするべきである」と、川口チーフエバンジェリストは主張する。

　15年に発覚した日本年金機構の情報漏えい事件も、PC間通信ができない設定になっていれば、被害の拡大を防止できた可能性がある。

感染後の対応も用意

　ウイルスに対しては「予防、発見、対応の三つが重要。日本のユーザー企業は予防や発見に取り組むものの、感染したことを想定した対応策についてはほとんど議論していない」と、マクニカネットワークスの柳下室長代理は指摘する。ウイルス感染時の対応策をもっていれば、IT投資のあり方もみえてくる。

　ラックの川口チーフエバンジェリストは次のように考えている。「セキュリティ対策に無駄なものはない。ポイントは、投資に見合うかどうか。そこはユーザー企業側で考えるしかない。IT業界は、そのための判断材料を提示すべき」。

　WannaCryの亜種は次々と登場している。メールやUSBメモリを利用するタイプで拡散する可能性も大いにあり得る。「だから、パッチをあてる、『バックアップを取る』は、徹底しなければいけない。できないのであれば、別の対応策。感染して業務が停止するのは経営者の責任であることを、IT業界は訴えていかなければいけない」と、川口チーフエバンジェリスト。