NEWS

ニュース | 最新のニュースをお届けします

世界的な規模で感染拡大したランサムウェア「WannaCryptor」について

この記事をシェア

2017年5月12日に、ロシア、ウクライナ、台湾などでランサムウェア「WannaCryptor」の大規模な感染がありました。この発生当日の検出量を国別に見るとロシア中心に猛威を振るう状況にあります(以下の表を参照)。しかし、5月13日以降も様々なところで感染被害報告が上がっており、日本でも被害に遭ったケースが出てきています。
世界的な規模で攻撃が発生していることを受け、このランサムウェアに関わる大規模なサイバー攻撃については、すでに国内でもIPA(情報処理推進機構)、JPCERT/CCや総務省などから注意喚起が出ております。

※ランサムウェア(Ransomware)とは、身代金を要求するマルウェアで、最近の傾向として感染端末に保存されたデータなどを暗号化し、そのデータを復号するために脅迫文書を示して金銭を要求する特徴を持っています。

5/12のESET製品によるランサムウェア「Win32/FileCoder.WannaCryptor」国別検出状況の割合
※ESET VIRUSRADARより
5/12のESET製品によるランサムウェア「Win32/FileCoder.WannaCryptor」国別検出状況の割合

感染拡大した主な要因

今回のランサムウェアは、ワームとしての機能も持っており、感染活動を大きく拡大させた一つの要因です。また、侵入手法として「EternalBlue」エクスプロイト攻撃を利用しMicrosoft ネットワークのファイル共有通信に用いられていたSMBv1の脆弱性を悪用していました。これにより、Microsoftより提供されている修正プログラム「MS17-010」が適用されていないWindowsプラットフォーム環境が軒並み標的となっています。

このランサムウェア「WannaCryptor」については、ESETでは「Win32/FileCoder.WannaCryptor」もしくは「Win32/Exploit.CVE-2017-0147」として検出対応しておりますが、今後も亜種が発生することに備え、脆弱性対応を優先に速やかな対応が必要です。まずは、このランサムウェアの特徴についてご説明します。

今回のランサムウェア「WannaCryptor」の特徴

今回、特に多く確認されたランサムウェアは、「Win32/FileCoder.WannaCryptor.D」呼ばれる種類のものです。実際に感染してしまうと、ローカルPC内のデータが次々と暗号化されます。暗号化されたすべてのファイルは、ファイル名の拡張子を「.WNCRY」に書き換えられます。暗号化が完了すると、デスクトップ背景画面を書き換え、かつ脅迫文書画面が表示されます(以下の図1と図2を参照)。ここでは、身代金として$300をビットコインで支払うよう要求してきます。

図1:「Win32/Filecoder.WannaCryptor.D」に感染した後の脅迫文書画面
図1:「Win32/Filecoder.WannaCryptor.D」に感染した後の脅迫文書画面
図2:「Win32/Filecoder.WannaCryptor.D」に感染した後のデスクトップ背景画面
図2:「Win32/Filecoder.WannaCryptor.D」に感染した後のデスクトップ背景画面

そのほかにも、Q&Aが書かれたテキストファイル(以下の図3を参照)もローカルPC上に生成されます。

図3:「Win32/Filecoder.WannaCryptor.D」に感染した後に生成されるテキストファイルを開いたところ
図3:「Win32/Filecoder.WannaCryptor.D」に感染した後に生成されるテキストファイルを開いたところ

昨年以降、様々な種類のランサムウェアは発生し続けており、今後も予断を許せない状況が続くものとみています。

今後被害に遭わないために

今後の亜種等発生に備えた対策として、以下に大きく分けて2つ取り上げます。

①Microsoftより提供されている修正プログラムを適用する
まずはMicrosoftより提供されている「MS17-010」修正プログラムを適用してください。
もし、適用することが難しい場合は、「SMBv1」を無効にする(止める)ことを速やかに検討し実施することを推奨します。詳しくは、Microsoft社ホームページ「ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス」をご参照ください。

②侵入や攻撃手法を変えて亜種が狙ってくることに備える
今後も同じ手法で攻撃が行われるとは限りません。下記当ニュースでの定型でお伝えしている「常日頃からリスク軽減するための対策について」(下にあります)をご確認いただき、必要な対処を実施してください。
また、メールの取り扱いに注意しましょう。亜種の感染拡大にメール攻撃を行う可能性も十分に考えられます。「不審なメールが届いたらそのメールの添付ファイルは絶対に開かない」ことにも心がけてください。
もし、ばらまき型メール攻撃が確認された場合は、弊社公式ツイッターアカウント「マルウェア情報局」でも注意喚起を行っています。これらの情報もご参考いただき、必要な対処や関係者への情報共有などを実施してください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2017年5月12日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で定義されました。
ウイルス定義データベースにて、下記の検出名で検出されます。

ウイルス定義データベース:15404 (20160512) 以降

Win32/Filecoder.WannaCryptor トロイの木馬
Win32/Exploit.CVE-2017-0147 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
  Suspicious File
  Genentik の亜種 トロイの木馬
として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。

関連情報

> ESET VIRUSRADAR

> Windows環境での「WannaCryptor」に関するESET社による対応状況について

> 2017年5月16日現在、弊社製品での「WannaCryptor」に関する対応状況について

> Win32/Filecoder.WannaCryptor.D(ウイルス情報 英語)

参考情報 ※各社のホームページへアクセスします。

> IPA:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について

> JPCERT/CC:ランサムウエア "WannaCrypt" に関する注意喚起

> Microsoft:ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!