WannaCryとはどんなもの？感染症状や感染の確認方法

法人向けOCNサービスTOP
OCNとは
お役立ちコンテンツ
WannaCryとはどんなもの？感染症状や感染の確認方法

ランサムウェアとワームの機能を持つWannaCryは、どのような特徴を持つマルウェアなのでしょうか？感染したときの症状や、追跡の仕方について解説します。正しい知識を身につけ、適切に対策できるようにしましょう。

この記事の目次

・ WannaCryとは
・ WannaCryに感染すると
・自社PCが影響を受けているかの確認方法
・まとめ

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業　◆Case2:製造業
◆Case3:建築業　◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

WannaCryとは

多くの企業に影響を与えたWannaCryは、どのような特徴があるのでしょうか？構成や攻撃の仕方について解説します。特徴を理解し、正しい対策に役立てましょう。

ランサムウェアとワームで構成

一番の特徴は、ランサムウェアとワームで構成されているという点です。ランサムウェアとは、PC内のデータを暗号化し身代金（ランサム）を要求するマルウェアのことをいいます。身代金を支払わなければ、最終的にデータは見られなくなってしまうのです。ワームは自動的に感染を拡げていく特徴があります。ウイルスとの違いは、単独で存在できることです。プログラムに寄生することがありません。 PCに侵入するときには、まずワーム機能を持つ『ドロッパー1』がWindowsネットワークにあるMS17-010という脆弱性を狙って侵入します。侵入するとランサムウェアの機能を持つ『ドロッパー2』が自動的に実行されるのです。

SMBv1が攻撃される

MS17-010の脆弱性を狙うことは知られていますが、攻撃はSMBv1に対して行われます。SMBv1は、ファイル共有やプリンタ共有のための決まりごとです。ここに、EternalBlueという脆弱性を利用したマシンコードで攻撃します。その攻撃により、SMBv1のメモリ領域を超えバグを起こし、バッファオーバーフローを発生させるのです。そうして、PC上のデータを書き換えてしまいます。

WannaCryに感染すると

では、実際に感染すると、PCにはどのようなことが起こり、社内ネットワークにどういった影響を及ぼすのでしょうか？引き起こされる被害について解説します。

自動感染活動により拡がる

PC1台に侵入してデータを暗号化して終わり、とはいかないのが被害の拡がる理由です。感染したPCを中心に、社内・社外問わずどんどん被害が拡大していきます。拡大していくときには、IPアドレスを自動生成し、インターネット通信で次に侵入するPCを見つけ出します。自動生成したのが社内のIPアドレスであれば社内PCに、社外のIPアドレスであれば外部のPCに飛び火していくのです。また、IPアドレスの自動生成によって入り込むPCを探し出すため、通常のマルウェアで有効なセグメント分けでは対応できません。部署ごとにネットワークを分けていても、侵入される可能性があることに注意しましょう。

追跡と感染経路の特定

どこから侵入し、どういった経路で拡大していったのかルートを特定し、感染機器を隔離する必要もあります。ただし、セキュリティログをチェックしても追跡はできません。そこで、通信ログやファイアウォールのログに通信記録がないか確認します。こうした追跡できるログが取得されていない場合には、Microsoft社の『Sysmon』を導入しましょう。WannaCryが利用する445/tcp通信のログを取得できます。感染したPCかチェックするには、EDR製品が役立つかもしれません。感染時にインストールされるサービスが、イベントID7045で記録されている可能性があるためです。

ファイルが暗号化される

PCに侵入したWannaCryは、データを暗号化します。その数は170種類以上です。ほとんどのデータは、末尾に『a.jpg.WNCRY』という文字列が追加され、閲覧できなくなるでしょう。さらに深刻なのは、業務用ソフトウェアが使えなくなる被害です。サービスが停止されてしまい、業務の遂行が不可能な状態に陥ります。デスクトップには、感染したことと、暗号化の解除には身代金の支払いが必要なことが表示されます。身代金を支払わなかった場合、暗号化されたデータは閲覧できません。

自社PCが影響を受けているかの確認方法

データが暗号化されていなくても、自社PCが影響を受けている可能性があります。複数の方法でPCをチェックし、安全に使えるかどうか確認しましょう。

通信ログでの確認方法

まず確認するのは、DNSサーバーのクエリログです。WannaCryについてのドメイン名の記録がされていないか、チェックしましょう。ファイアウォールのログからも、感染の有無を確認できます。自動で拡がっていくときに、445/tcpポートを使って、自動生成したIPアドレスにアクセスしようとするからです。そのため、ファイアウォールのログに、自動生成されたと思われるランダムなIPアドレスで445/tcp接続が記録されていると、WannaCryの影響が疑われます。

IOC情報を利用したスキャンでの確認方法

脅威がそこに存在する記録をIOC情報といいます。PCに残る記録をチェックして感染機器かどうか判別するのです。まず、チェックするのが、イベントログです。WannaCryが入り込むと、サービスのインストールが始まります。すると『イベントID 7045』でインストールが記録されている可能性があるのです。セキュリティログも確認しましょう。『イベントID4688』の取得を設定していれば、関連するプログラムの実行の痕跡が残っているかもしれません。 WindowsOSの動作をイベントログに記録するツール『Sysmon』のログにも履歴が残る可能性があります。

感染機器を追跡する方法

感染元になったPCから445/tcp接続で拡がっていく特徴があるため、感染したPCが見つかったら、感染元PCを特定し隔離しなければいけません。そのためには、感染機器の追跡をします。ただし、セキュリティログを確認しても、ログオン成功・失敗・試行、どのログも記録されていません。そこで、追跡には通信ログをチェックします。もしくは、端末のセキュリティ対策に使用されるEDR製品のスキャンで、感染機器を見つけられることもあるでしょう。Sysmonツールのログで、445/tcp接続を追跡するのも有効です。