WannaCryランサムウェア攻撃とは

WannaCry（ワナクライ）は、2017年5月17日に初めて登場したランサムウェア暗号化ワームです。WannaCrypt、WannaDecryptOr 2.0、WanaDecryptOr 2.0とも呼ばれるこのワームは、あらゆるバージョンのMicrosoftオペレーティングシステムを実行するコンピューターを主に標的としています。

サイバー犯罪者は、ユーザーを騙したり、ソーシャルエンジニアリングを使用してウイルスをダウンロードしたり、コンピューターやネットワークに侵入したりします。多くのコンピューターネットワーク上の重要なファイル、アプリケーション、プログラムを暗号化、つまり「誘拐」するのです。その後、サイバー犯罪者は、このWannaCryランサムウェア攻撃を使って、ユーザーが暗号化されたファイルをリストアできるようにするための支払い（身代金）を要求します。

企業は、ランサムウェアのインシデントごとに最大200万ドルの損失を被る可能性があります。動的バックアップシステムを作ることは、ネットワークが身代金をかけられるのを防ぐ一番の方法です。Veeamでは、ランサムウェア攻撃を受けた場合に備えて、最も重要なデータを保護する安全なバックアップ機能を提供することで、企業のお客様を支援しています。ほとんどのケースでは、迅速なバックアップと運用の再開が可能になります。

動作のしくみ

WannaCryは、MicrosoftオペレーティングシステムのServer Message Block（SMBv1）の脆弱性を利用します。WannaCryがコンピュータやコンピューターネットワークに感染すると、 ユーザーのコンピューターに画面が表示され、ファイルが暗号化されており ユーザーは3日以内にビットコインで$300、7日以内に$600の身代金を支払う必要があることが示されます。

おそらく最も興味深いのは、Microsoftはこの脆弱性を独自に発見しており、WannaCryが登場する2か月前にはサポート対象のすべてのシステムにパッチをリリースしていたことです。これは、すべての企業に対してソフトウェアを定期的に更新するように促す警告でもあります。その後、Microsoftでは旧バージョンのオペレーティングシステム用のパッチをリリースしました。残念ながら、この修正はWannaCryの使用を妨げるものではありませんでした。

WannaCryの広がり方

WannaCryは、SMBv1の旧バージョンを標的としています。これは、ユーザーのデータを暗号化するために必要なコンポーネントを抽出する自己完結型プログラムとしてコンピューターにダウンロードされます。WannaCryは、Windows XPやWindows 7など、もはやサポートされていないものを含む旧型のMicrosoftマシンを使用しているすべてのネットワーク上ですばやく拡散します。

WannaCryは、自己複製能力を持つネットワークワームでもあります。ユーザーが騙されてウイルスをダウンロードすると、輸送コードによって自動的に拡散することが可能になります。WannaCryは感染できそうな他のマシンを探し出し、米国国家安全保障局（NSA）によって最初に開発されたハッキング手法を使ってコンピューターにアクセスします。その後、NSAが開発した「バックドア」ソフトウェアであるDoublePulsarを介してコンピューターネットワークへのアクセスを取得します。このソフトウェアは、開発後にShadow Brokers（ビデオゲーム「Mass Effect」のキャラクターの名前に由来）というハッカーグループによって盗まれ、2017年4月に一般公開されたものです。DoublePulsarはわずか数日で数十万台のマシンに感染し、急速な拡大を見せたと研究者は述べています。

WannaCryキルスイッチ

起動すると、WannaCryはキルスイッチと呼ばれるハードコードされたURLにアクセスしようとします。そのURLに到達できない場合は、コンピューター上の重要なデータを暗号化します。ソフトウェアがそのURLに接続すると、コンピューターがシャットダウンしてそれ以上の損害は発生しません。

WannaCryを研究したコンピューターの専門家によると、なぜWannaCryが使用されたのかはわかっていません。WannaCryは、無意味なURL（例：iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea（dot）com）をキルスイッチとして使用します。英国のセキュリティ研究者、マーカス・ハッチンズ氏はすぐにWannaCryウイルスの研究に取りかかりました。ハッチンズ氏はウイルスがこのURLに接続しようとしていることに気付き、このソフトウェアが研究者を混乱させてコード分析をより難しくするためにこのように動作したと結論付けました。

しかし、ハッチンズ氏が行ったのはウイルスの研究だけではありませんでした。ハッチンズ氏はこのURLを登録するための手数料を支払い、Webページを構築して、WannaCryのさまざまな亜種によって世界中のコンピューター上のファイルが暗号化されるのを効果的に防ぎました。サイバー犯罪者たちが新たな亜種に異なる無意味なURLを使用し始めたのに伴い、コンピューター研究者たちはハッチンズ氏の後に続き、それらのURLを登録してWebサイトを作成し、WannaCryを無効化しました。最初の攻撃から数日のうちに、ランサムウェア攻撃「WannaCry」の勢いは徐々に弱まりました。WannaCryの新たな亜種ではキルスイッチの使用を避けるようになっています。

WannaCryの歴史

NSAは、WannaCry攻撃の数か月前にSMBv1の脆弱性を発見しました。その後、EternalBlueと呼ばれる、システムを悪用するハッキングツールを開発しましたが、この脆弱性を発見したことをMicrosoftに伝えませんでした。その後、Shadow Brokersは2017年4月にNSAをハッキングし、EternalBlueのコードを盗んで一般に公開しました。インターネット上には2017年5月の攻撃の何ヶ月も前からWannaCryの複数の亜種が出回っていましたが、サイバー犯罪者はEternalBlueを選び、攻撃をより危険なものにしました。

WannaCryを作ったのは誰ですか？

WannaCryの所有権を公に主張したグループはありません。しかし、セキュリティ企業の研究者たちは、WannaCryで使用されたコードが、（自らを平和の守護者と呼ぶ）Lazarus Group（ラザルスグループ）が以前に使用していたコードと類似していることを発見しました。このグループは北朝鮮政府と関係があると考えられており、2014 北朝鮮の独裁者金正恩が殺害される様子を映したソニーの映画 に対するソニー・ピクチャーズへのサイバー攻撃に関与していました。

米国政府は、数カ月にわたる調査の結果、WannaCryの責任が北朝鮮にあることを正式に非難しました。北朝鮮は全ての非難を否定した。ニュージーランド、日本、カナダは米国に加わって北朝鮮を非難した。後に、英国は米国の評価が正しかったと述べています。

多くのコンピューター研究の専門家や外国政府も、NSAがSBMv1の脆弱性を発見したことをMicrosoftに事前に通知しなかったことを批判している。多くの人は、NSAはこの問題を公にすることなく、ひっそりとMicrosoftに話せたはずだと感じている。ロシアのウラジーミル・プーチン大統領は、WannaCryウイルスについて、EternalBlueを生み出したアメリカの諜報機関を直接非難しました。

WannaCryが機能するしくみ

WannaCryが機能するのは、いくつかの重要な要素に依存しているからです。

多くの企業が、サポートが終了した旧版のWindowsオペレーティングシステムを使用している

世界中の多くの企業、特に発展途上国では、新しいMicrosoftオペレーティング システムが利用可能になるたびに、新しいソフトウェアを購入する余裕がありません。また、新しいMicrosoftオペレーティング システムを使用する新しいコンピューターを購入する余裕もありません。そのため、世界中で非常に多くのコンピューターネットワークが、SMBv1の脆弱性が存在するMicrosoftオペレーティングシステムをいまだに使用しています。その結果、WannaCryは世界規模でコンピュータに感染しやすくなっています。

より新しいオペレーティングシステムを使用している場合でも、ユーザーや企業の多くは、Microsoftがリリースする脆弱性修正のための新しいパッチでシステムを定期的に更新していない

これは、大規模なインターネットセキュリティ運用を行っている企業にも当てはまります。ネットワークのダウンタイムや、新しいパッチによって他のソフトウェアが使用できなくなるといったビジネス上の懸念を理由に、多くのユーザーがパッチをダウンロードしていません。

多くの企業は、最も重要なドキュメントの安全なバックアップを作成するために時間や費用をかけたくありません

おそらく、WannaCryといったランサムウェアに打ち勝つ最善の方法は、最も重要なドキュメントのための安全なバックアップシステムを構築することです。残念ながら、WannaCryの影響を受けた企業の多くはそうした対策を講じていませんでした。こうした企業は、ビジネスに重要なコンポーネント（一部のケースでは工場全体を含む）を停止したり、数日の間、製造を完全に停止したりしなければなりませんでした。

影響

WannaCryは世界規模で非常に大きな影響を及ぼしています。さまざまな研究グループによる推定では、150か国で200,000〜250,000台のコンピューターが感染しているとのことです。このウイルスは台湾、インド、ウクライナ、ロシアにおいて特に影響を及ぼしていますが、これらの国々で旧版のMicrosoftオペレーティングシステムが多く使用されていることが主な原因です。マーカス・ハッチンズ氏によるキルスイッチの発見といった防御策により、北米諸国への影響は比較的大きくはありませんでした。

WannaCryウイルスの影響を受けた最大規模の機関は英国とスコットランドの国民保健サービスでした。WannaCryは、コンピューターだけでなく、血液貯蔵用冷蔵庫や手術室の機器、MRIスキャナーにも影響を及ぼしました。このウイルスにより、NHSは数千件にも及ぶ緊急性のない受診をキャンセルせざるを得なくなり、数百万ポンドの費用がかかりました。

ほかにも、WannaCryの被害を受けた組織には、インドの警察署、ギリシャ、カナダ、インドネシアの大学、ロシア、ルーマニア、日本の自動車メーカー、FedEx、スロバキアとインドネシアの病院、ポルトガルとサウジアラビアの通信ネットワーク、ロシアの鉄道、そしてブラジルの裁判所などがありました。これらは、WannaCryの影響を受けた何百もの企業や組織のほんの一部です。WannaCryはほんの300～600ドルの身代金を要求するだけですが、すべての企業全体のコストは40億ドルの生産損失と推定されています。

防御策

Microsoftは以前のバージョンのオペレーティングシステムが悪用されたことを受けて、Windows10とWindows11にランサムウェア対策ツールを組み込みました。「制御されたフォルダーアクセス（Controlled Folder Access）」と呼ばれるこのツールにより、コンピューターにダウンロードできるのは調査済みのアプリケーションのみになります。

また、最初のWannaCry攻撃から数日以内に、Microsoftは、サポートされていない古いオペレーティングシステムのこの脆弱性を修正するためのパッチをリリースしました。これはMicrosoftにとって異例の措置でしたが、WannaCryからユーザーを保護する必要性に基づいた判断でした。

多くの人は身代金を支払いませんでした。研究者は、WannaCryウイルスが完全に準備される前に放出されたことを発見しました。その結果、サイバー犯罪者は誰が身代金を支払ったのかを特定できず、暗号化されたファイルへのアクセスをリストアすることもできませんでした。また、政府や法執行機関は、サイバー犯罪者に金を払ってもランサムウェアの増加を助長するだけで、身代金を支払ってもデータを取り戻せるという保証がないことに気付きました。

WannaCryはまだ脅威ですか？

残念ながら、WannaCryは2023年になってもコンピューターに影響を与えています。多くのセキュリティ専門家は、WannaCryの壊滅的な影響にもかかわらず、サイバーセキュリティの長期的な改善は生み出されなかったと感じています。多くの企業が依然として旧版のMicrosoftオペレーティングシステムを使用しており、WannaCryを防ぐために必要となるパッチを適用してソフトウェアを更新していません。また、フィッシングメールやソーシャルエンジニアリング攻撃を認識するためのトレーニングを従業員に提供している企業も多くはありません。いまだに多くの企業が自社が攻撃されるようなことは絶対にないと誤認して、安全なバックアップシステムを導入していません。

ランサムウェア緩和戦略

「2024ランサムウェアトレンドレポート」でも述べられているように、ランサムウェア攻撃は近年急激に増加していますが、その緩和戦略も向上しています。

ランサムウェア攻撃から保護する最善の方法の一つとして、攻撃の兆候を認識する方法に関するトレーニングを従業員に提供することが挙げられます。従業員は、危険な添付ファイルを含むフィッシングメールを見分けるトレーニングを受ける必要があります。あるコンピューター専門家は、「踊るペンギンとサイバーセキュリティのどちらかを選べと言われれば、常に踊るペンギンが選ばれる」と述べています。すべてのランサムウェアがネットワークワームというわけではありません。ほとんどのランサムウェアは、ユーザーが有害なアプリケーションをダウンロードすることに依存しています。

また、従業員は、政府や法執行機関を装った公式なメールを使用して、ユーザーにこれらの添付ファイルのダウンロードを促すソーシャルエンジニアリングを見抜く方法も学ぶ必要があります。

緩和ツールには、ほかにもVeeam製品で提供されるようなセキュアなバックアップシステム機能があります。これらによって、最も重要なドキュメントを保護し、数分または数時間以内にデータをリストアできるようになります。

WannaCryを防ぐ方法

WannaCryがコンピューターやネットワークに感染するのを防ぐには、いくつかの方法があります。

• システムを更新して最新のパッチを適用する
• ランサムウェアをブロックする専用ソフトウェアをインストールする
• セキュリティ強化のためにポート445をブロックする。WannaCryは、多くの通信にポート445を使用しており、ファイルの暗号化を開始するのに役立っています
• セキュアなバックアップシステムで最も重要なデータを保護する。

WannaCryの検出方法

おそらく、WannaCryがネットワーク上にあるかどうかを検出する最良の方法は、コンピューターのログとネットワークトラフィックを確認することです。まず、SMBv1がコンピューターでまだ動作している場合は、非アクティブ化する必要があります。SolarWinds は、サーバー ログを使用してWannaCryを検出する方法に関する入門書 を提供しています。ポート445でのファイルの作成と送信トラフィックは常に監視してください（これがこのポートをブロックすべき理由の一つです）。

WannaCryマルウェアを削除する方法

Microsoftは現在、悪意のあるソフトウェアの削除ツールを提供しています。ソフトウェアレビューサイトのGeek's Adviceも、ソフトウェアを手動で削除するためのガイドを提供しています。ただし、操作は難しくなることがあるため、コンピューターシステムに慣れていないユーザーが行うべきではありません。

Veeamが提供する支援

WannaCryウイルスやその他のランサムウェアによるネットワーク感染を防ぐ方法はいくつか存在しますが、最終的かつ最善の防御策はセキュアなバックアップシステムとなります。Veeamのランサムウェア保護は、セキュリティ第一の設計がなされています。信頼性の高いバックアップの存在は、サイバー犯罪者に一銭も払わずに通常の運用を迅速に復元するか、多額の身代金を支払いつつ長期間のシステム停止を受け入れるかを左右する要素となり得ます。