はじめに
今や知らない人はいないであろう身代金要求型ウィルスの「ランサムウェア」ですが、世間でその名前を知られるようになったきっかけとなった出来事が、2017年5月に世界中で猛威をふるったワーム型ランサムウェア「WannaCry(ワナクライ)」です。
世界150か国、23万台以上のコンピュータが感染。PCのデータが暗号化され、解除に必要なキーを入手するための身代金として暗号通貨ビットコインを要求する手法で日本国内では大手メーカーなどの製造系企業や水道局などの公共団体でも被害が報告されました。
またイギリスでは、病院を閉鎖する事態に発展したりと世界中に大きな被害をもたらしました。この事件が発生してからも、
新たに「Maze(メイズ)」や「Emotet(エモテット)」と呼ばれるランサムウェアが世界中で流行しています。
事件の発生から5年経った今、事件から何を学んで、どんな対策を行う必要があるのでしょうか。海外と国内の「WannaCry」の被害事例の紹介を交えつつ、いまだからこそ必要な対策について考えます。
【1】WannaCryとは?
「WannaCry」は、ランサムウェアの一種。英語で直訳すると「泣きたくなる」という意味ですが、暗号化されたファイルに「.wncry」や「.wcry」という拡張子がついて開けなくなってしまい、「期限までに身代金を支払わないとデータが消えてしまうので泣きたくなる」という被害者の想いから名付けられたといわれています。
ワーム型のランサムウェア
PC内のデータを暗号化し身代金を要求する「ランサムウェア」と、自動的に感染を拡げていく特徴を持つウィルスの一種「ワーム」で構成されています。PC1台に侵入してデータを暗号化させて終わりではなく、自動的に次に侵入するPCを見つけ出し次々と広げていきます。
脆弱性をついた攻撃でPC内のデータが暗号化
WannaCryは相手のPCにメールを送って、添付したファイルを開いてウィルスを拡散させ、Windowsの「SMBv1」というファイル共有などで用いられるプロトコルの脆弱性を標的に攻撃を行います。その後、SMBv1のメモリ領域を超えバグを起こし、バッファのオーバーフローを発生させてPC上のデータが暗号化されてしまいます。
ビットコインで暗号の解除に必要な身代金を要求
データが暗号化されて使えなくなってしまった後、画面に脅迫文が表示され、データを復元して欲しければ、暗号通貨「ビットコイン」で身代金を支払うように要求されます。
【2】国内・海外のWannaCryの被害実例
ランサムウェア「WannaCry」による感染は、大企業だけでなく、中小企業や個人にも被害が広がりました。ここでは、国内外の企業で発生した代表的な事例についてご紹介します。
日本国内の被害事例
ケース1:国内大手総合電機メーカー
2017年5月12日、大手総合電機メーカーの欧州の現地法人における検査機器を感染源に社内ネットワークを経由して次々とWannaCryに感染。被害は業務システムサーバーやOA用PCなど、情報システム部門が管理する業務サーバー、工場内の生産管理システム、倉庫システム、オフィスビルの入退室管理システムまで多岐にわたり、復旧までに5日ほどかかりました。
ケース2:政令指定都市の上下水道局
2017年5月15日、ある政令指定都市の上下水道局でPC1台がWannaCryに感染したことが判明。国際事業を担当する部署で庁内のネットワークと切り離し、インターネット接続専用のPCとして大容量データの送受信や海外の関係先との連絡等に使っていました。
担当者の話によると5月12日、朝から問題なく使えたものの、週明けの15日午前8時ごろに起動させたところ、画面に表示されるフォルダーが少ないと気づき、担当者は抜線。その後金銭を要求する請求画面が表示されました。
該当のPCは庁内ネットワークには接続していないことから、業務に影響はなかったと報告されています。
ケース3:国内大手自動車メーカー
2017年6月18日、大手自動車メーカーの工場内にある生産ラインの管理を使用するPCでWannaCryに感染したことが判明。同時期にWannaCryが世界的に流行っていたことを受け、事前に社員に対して注意喚起するなど対策を講じてきました。
しかし、古いPCの代替が進んでいなかったこともあり、翌19日、感染が拡大することを恐れて操業停止を決断。翌20日までにはウイルスの隔離や再発防止策を終え、稼働を再開しました。
ただ、生産ラインが止まった影響で1日あたり1000台の自動車を生産することができませんでした。
海外の被害事例
ケース1:イギリスの医療機関
2017年5月12日、イギリスで医療団体用システムを提供する公的機関のコンピュータがWannaCryの攻撃の被害を受けたと報じられました。
国内の医療団体のネットワークにつながる医療機関でカルテや処方箋、予約などの管理システムや電話に障害が発生し、通常の業務ができなくなりました。
さらに他の医療機関にまで感染が広がりました。
患者情報のアクセスに必要な情報の送受信ができなくなったために治療や診察のキャンセル、救急車の受け入れの停止に追い込まれ、国民に大きな不安を与えました。
ケース2:フランスの大手自動車メーカー
2017年5月12日、スロベニアにある大手自動車メーカーの子会社で本社のコンピュータがWannaCryの攻撃の被害を受けました。
部品の組み付けなどの生産に支障が及ぶことから生産ラインを1日半停止する事態となりました。
ケース3:中国の国立大学
2017年5月12日、中国国内の複数の国立大学でWannaCryの攻撃を受けました。
学生の卒業論文や実験データが暗号化され、解除をする際に暗号通貨「ビットコイン」で支払うように要求されたと中国メディアで報じられています。
その他にも、海外ではアメリカの貨物輸送会社やスペインの通信会社、ドイツの鉄道会社、ロシアの省庁もWannacryの被害を受けています。
【3】被害を拡大させた理由
なぜ全世界にWannaCryの感染による被害が拡大したのでしょうか。考えられる理由のひとつとして、Windowsのネットワーク共有機能の脆弱性が狙われたことがあげられます。
WannaCryの被害が拡大する前、ハッカー集団「Shadow Brokers」が「EternalBlue(エターナルブルー)」と呼ばれる攻撃ツールを公開。2016年に米国家安全保障局(NSA)から盗み出されたものだといわれており、Windowsのファイル共有プロトコルの実装に関する脆弱性を悪用し、標的のコンピュータ上で任意のコードを実行できるようにしていました。
この脆弱性の情報は既にMicrosoft社に非公開で開示されており、2017年3月14日、月例のセキュリティ更新プログラム(修正パッチ)に関する18件のセキュリティ情報を公開。Internet Explorer(IE)やMicrosoft Edge、Windows Hyper-Vなどのソフトに脆弱性が見つかったため、修正パッチを提供し、早めに適用するように呼びかけていました。
しかし、多くのユーザーや企業で定期的にOSをアップデートしておらず、セキュリティパッチを適用していなかったため、アップデートされていないPCを中心に感染が拡大。工場の生産や企業活動が停止するなど、全世界に影響を与えました。
実際に大手自動車メーカーの被害事例では、社内にWannaCryへの注意喚起を行っていたものの、感染した工場設置のPCが古く、Microsoft社が提供した修正パッチが機能しなかったことが背景にあるといわれています。
またイギリスの国民保健サービスの被害事例では、2014年4月にサポートを終了したWindows XPを使用していました。
イギリス政府は2014年の時点でできるだけ早くXPの使用を停止するように求めていましたが、当時XPを使用していた病院は9割を占めていました。当時一部の病院ではセキュリティパッチを適用しなかったため、脆弱性をつかれてWannaCryによる攻撃の被害が広がったといわれています。
こうした世界各国の被害状況を鑑みてMicrosoft社は、サポート終了していたWindows XPに対してもパッチを公開するなど異例の措置をとりました。それほどWannaCryが世界中に与えた被害が甚大だったということでしょう。
【4】過去のWannaCryの被害事例を受けて必要な対策は
WannaCryをはじめとするランサムウェア攻撃の被害に遭わないためには、どんな対策が求められるのでしょうか。ここでは、有効な対策についてご紹介します。
定期的にソフトウェアとOSをアップデートする
WannaCryが猛威を振るった当時、事前にMicrosoft社が配布していた修正パッチが適用されていたPCは、ほとんど被害に遭うことはありませんでした。
この事実から学べることは、定期的にソフトウェアとOSをアップデートさせ、常に最新の状態にしておくことで既知の脆弱性を悪用する多くのランサムウェアを防げます。
あわせて企業には、最新のセキュリティパッチが適用されていないパソコンを社内ネットワークに接続しないようにするといったセキュリティ対策を徹底することも大切です。
データのバックアップを定期的に行う
外付けのハードディスクやクラウドストレージを活用して、定期的にデータをバックアップすることも大切です。たとえPCがランサムウェアに感染しても、外部にバックアップがあればデータを復元できるため、犯罪者へ身代金を支払う必要がありません。
ただし、バックアップ時に外付けデバイスを使用するときは、データのバックアップ作業が完了したら、PCから外付けデバイスを取り外すようにしてください。PCに接続したまま使用すると、外付けデバイスのデータもランサムウェアの被害に遭う可能性があります。
信頼できない送信元からのメールの添付ファイルやリンクを開かない
メールに添付したファイルやリンクを不用意に開いてしまうと、ランサムウェアに感染してしまう可能性があります。
メールが送られてきた場合、信頼できる送信元から送られたものか、添付ファイルやリンクの中身はわかっているか、そもそもこうした添付ファイルが送られてくる予定になっていたかなどを確認し、不審な点がある場合は開かないようにしましょう。
多層防御ができるセキュリティソフトの導入
未知の脆弱性を利用するゼロデイ攻撃がきっかけで、ランサムウェアに感染する可能性もあります。
PCのセキュリティレベルを高めるために、検知はもちろん、プログラムの起動後も不正な動作を防ぐ「多層防御のセキュリティソフト」の導入を検討することもおすすめします。
起動前・起動後の二段階で脅威を阻止できるため、パターンマッチング型のアンチウイルスソフトよりもリスク軽減に役立ちます。
なお当社のISM CloudOneの「自動脆弱性診断」では、最新のセキュリティパッチが適用されていない、OSの更新がされてないなど脆弱性を発見して対処できるほか、「ふるまい検知」でウィルス対策ソフトだけでは防げない、未知のマルウェアに5つのエンジンで検知できます。
また、バックアップファイルの保存としても活用できるクラウドストレージ機能もあるため、ランサムウェア対策としてISM CloudOneのご検討をおすすめします。
【5】WannaCryをはじめとした近年のランサムウェアの動向
2017年5月に発生したWannaCryによる世界的な感染拡大以降、Windowsの脆弱性を突いた攻撃手法によるランサムウェアも多数出現しています。
Maze(メイズ)
2019年5月以降、アメリカで「Maze(メイズ)」と呼ばれるランサムウェアの被害が数多く報告されました。
盗まれたデータを暗号化するだけでなく、暗号化したデータをコピーし、相手に身代金を支払わなければデータを漏洩すると脅迫する点に特徴があり、実際に大手IT企業や精密機械メーカーなどの企業で被害が報告されています。
Emotet(エモテット)
2014年頃に存在が確認されたランサムウェアの一種です。
実際の組織や人物になりすまして相手にメールを送り、添付したマクロ付きのWordファイルやURLを開くとPCに感染し、メールアカウントとパスワード、アドレス帳などの情報を盗み出します。
2019年頃から再び活動が活発化。国内外の企業や団体、政府機関で多数報告されており、今も日本国内での被害が増加しています。
【6】まとめ
被害が拡大する前からMicrosoft社はWannaCryをはじめとしたランサムウェアの攻撃に対して警鐘を鳴らしていました。それでも多くの環境でセキュリティパッチがあたっていないなど初歩的な管理の不備で被害を大きくしてしまう事態となりました。
最新のOSにアップデートすること、不審なメールに添付したファイルやリンクを開かないなど、誰にでもできる普通の対策を行えば、被害は最小限に収まったかもしれません。
WannaCryを含む近年のランサムウェアによる被害は、大手や有名企業に限ったことではありません。自社が直接感染してなくても、ランサムウェア自らが増殖して感染を拡大させる機能があれば、取引先や子会社などに被害が広まり、社会的信用の喪失や経済的損失の影響を受けるリスクが高まります。
これから先、WannaCryやEmotet以上の被害をもたらすランサムウェアが現れる可能性があります。WannaCryの被害を教訓とし、ランサムウェアの脅威に対抗するためにも、社員または職員一人ひとりに対してセキュリティ教育を徹底するのと同時に、経営者がリーダーシップを取ってセキュリティ投資を行うこと、さらにエンドポイントを多層防御する必要があります。
なお、ISM CloudOneコラムでは、ランサムウェアやWannaCryによる情報漏えいのリスクについて紹介していますので、あわせてご覧ください。
<関連記事>
■【事例と原因】情報漏洩リスク対策3選と社内セキュリティシステム