PCに入り込むと自動的に広がっていくWannaCryは、どのような感染経路で広がっていくのでしょうか？WannaCryの仕組みとPCへの侵入の仕方を解説します。

2つのマルウェアで構成されるWannaCry

WannaCryが特徴的なのは、別々の働きを持つ2つのマルウェアでできている、ということです。 1つ目は、ワームとして機能する部分で、WindowsのMS17-010の脆弱性を利用してPCに侵入します。2つ目は、PCに入り込んでから自動的に展開されるランサムウェアの部分です。 ランサムウェア部分には、動作に必要な部品を集めたファイルが格納されています。入り込んだPC内で展開し、データの暗号化解除のために身代金を要求する、ランサムウェアとして機能するのです。

アクションのいらないワーム型感染

WannaCryの被害が拡大した理由の1つに、ユーザーが何もしなくてもWannaCryが展開・感染される、ということがあります。 これまでのランサムウェアの感染は『メールの添付ファイルを開く』『不正なWebサイトに誘導される』など、何らかのアクションをした上で起きるものでした。 しかし、WannaCryは、ユーザーが何もしなくても感染するワームの機能を持っています。まるで意思のある生物のように、ネットワーク上を移動し、自動的に感染を広げていくのです。

SMBv1を狙った攻撃

WannaCryがデータを暗号化するときに攻撃するのは、SMBv1という部分です。この場所では、ファイル共有やプリンタ共有の決まりを規定しています。 脆弱性を狙うEternalBlueというマシンコードで攻撃します。SMBv1でバッファオーバーフローが起こるよう、メモリ領域をオーバーさせ、PC上のデータを書き換えるのです。

PCに入り込んだWannaCryは、どのような症状を引き起こすのでしょうか？データへの被害や、それによって業務にどのような支障が出るかなどを、解説します。

WannaCryの症状を知ろう

引き起こされるのは、データの暗号化です。データの末尾に『a.jpg.WNCRY』という文字列を追加し、見られない状態にします。 また、業務に使っているソフトウェアは、サービスが停止されて使用不可能に陥るのです。そのため、ソフトウェアの重要度によっては、業務が完全にストップしてしまうこともあるでしょう。 特徴的なのは、デスクトップに表示されるメッセージです。感染したことや、暗号化解除のための条件が表示されます。ランサムウェアなので、身代金の支払いが解除条件です。

入り込んでいるかどうか心配な場合には、PCのチェックをします。ただし、チェックする場所にはポイントがあります。ポイントを押さえて感染の有無を確認しましょう。

組織内での感染確認方法

感染の記録が残るのは、DNSサーバーのクエリログやファイアウォールのログです。DNSサーバーには、WannaCry関連のドメイン名が記録されている可能性があります。 自動的に感染拡大するときに使用する445/tcpポートにも、記録が残っているかもしれません。他のPCへの侵入は、自動生成したIPアドレスで実行しようとします。そのため、ランダムなIPアドレスからの接続が記録されている可能性があるのです。 イベントログやセキュリティログからも、侵入の有無をチェックできます。PCに入り込んだ後、サービスのインストールがされた記録や、プログラム実行の記録が残っているケースがあるのです。 WindowsOSの動作を、イベントログに記録する『Sysmon』というツールを導入していたら、ログに履歴が残る可能性があるので確認しましょう。

感染の追跡と特定

感染の有無だけでなく、追跡することも大切です。自動感染で社内・社外を問わず広がっていく性質があるWannaCryは、感染元を特定して隔離しなければいけないからです。 このとき通信ログをチェックして記録を探します。ウイルス対策ソフトやファイアウォールのログに通信記録が残っている可能性があるのです。 セキュリティ対策のためのEDR製品があれば、PCをスキャンし、侵入している機器の特定もできます。すみやかに機器を特定し、隔離しましょう。

危険性の大きなマルウェアですが、正しく対策していれば脆弱性を狙われることはありません。具体的にどのような対策方法があるのか解説します。

セキュリティパッチの適用

脆弱性を狙って入り込むWannaCryですが、狙う部分は決まっています。Microsoft社が公表している『MS17-010』の部分です。すでにセキュリティパッチも出ていますので、それを適用するのが1番にできる対策といえます。 そのため、定期的なWindows Updateをしていれば、入り込まれることはまずありません。 アップデートの対象外になっているPCやルーターも感染する可能性があります。これらの機器の場合には、セキュリティパッチをダウンロードして適用しましょう。

ファイアウォールでポート445を閉じる

一時的な対策として、ファイアウォールでポート445を閉じるのも有効です。攻撃を遮断し感染を予防できます。 ただし、ポート445を閉じると、ネットワークのさまざまなサービスが使えなくなるので、あくまでも一時的な対策として使う、という点に注意しましょう。

ワームとランサムウェアで構成されるWannaCryは、自動的に感染を拡大していきます。対策するには、感染経路を知ることが大切です。 侵入が心配な場合には、ログをチェックしてみましょう。事前にセキュリティパッチを適用しておくのも有効な対策です。 特徴と感染の仕方について知り、危険を回避しましょう。