Select Language : English 日本語
Global Site : NTT Ltd.

WannaCryとはどんなもの?感染症状や感染の確認方法

ランサムウェアとワームの機能を持つWannaCryは、どのような特徴を持つマルウェアなのでしょうか?感染したときの症状や、追跡の仕方について解説します。正しい知識を身につけ、適切に対策できるようにしましょう。

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業 ◆Case2:製造業
◆Case3:建築業 ◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

ネットワークセキュリティ環境について、ご意見お聞かせください。

Q1:セキュリティ対策の導入について

Q2:自社のセキュリティ対策について

Q3:今回の訪問の目的は何ですか

WannaCryとは

多くの企業に影響を与えたWannaCryは、どのような特徴があるのでしょうか?構成や攻撃の仕方について解説します。特徴を理解し、正しい対策に役立てましょう。

ランサムウェアとワームで構成

一番の特徴は、ランサムウェアとワームで構成されているという点です。 ランサムウェアとは、PC内のデータを暗号化し身代金(ランサム)を要求するマルウェアのことをいいます。身代金を支払わなければ、最終的にデータは見られなくなってしまうのです。 ワームは自動的に感染を拡げていく特徴があります。ウイルスとの違いは、単独で存在できることです。プログラムに寄生することがありません。 PCに侵入するときには、まずワーム機能を持つ『ドロッパー1』がWindowsネットワークにあるMS17-010という脆弱性を狙って侵入します。 侵入するとランサムウェアの機能を持つ『ドロッパー2』が自動的に実行されるのです。

SMBv1が攻撃される

MS17-010の脆弱性を狙うことは知られていますが、攻撃はSMBv1に対して行われます。SMBv1は、ファイル共有やプリンタ共有のための決まりごとです。 ここに、EternalBlueという脆弱性を利用したマシンコードで攻撃します。その攻撃により、SMBv1のメモリ領域を超えバグを起こし、バッファオーバーフローを発生させるのです。そうして、PC上のデータを書き換えてしまいます。

WannaCryに感染すると

では、実際に感染すると、PCにはどのようなことが起こり、社内ネットワークにどういった影響を及ぼすのでしょうか?引き起こされる被害について解説します。

自動感染活動により拡がる

PC1台に侵入してデータを暗号化して終わり、とはいかないのが被害の拡がる理由です。感染したPCを中心に、社内・社外問わずどんどん被害が拡大していきます。 拡大していくときには、IPアドレスを自動生成し、インターネット通信で次に侵入するPCを見つけ出します。 自動生成したのが社内のIPアドレスであれば社内PCに、社外のIPアドレスであれば外部のPCに飛び火していくのです。 また、IPアドレスの自動生成によって入り込むPCを探し出すため、通常のマルウェアで有効なセグメント分けでは対応できません。部署ごとにネットワークを分けていても、侵入される可能性があることに注意しましょう。

追跡と感染経路の特定

どこから侵入し、どういった経路で拡大していったのかルートを特定し、感染機器を隔離する必要もあります。 ただし、セキュリティログをチェックしても追跡はできません。そこで、通信ログやファイアウォールのログに通信記録がないか確認します。 こうした追跡できるログが取得されていない場合には、Microsoft社の『Sysmon』を導入しましょう。WannaCryが利用する445/tcp通信のログを取得できます。 感染したPCかチェックするには、EDR製品が役立つかもしれません。感染時にインストールされるサービスが、イベントID7045で記録されている可能性があるためです。

ファイルが暗号化される

PCに侵入したWannaCryは、データを暗号化します。その数は170種類以上です。ほとんどのデータは、末尾に『a.jpg.WNCRY』という文字列が追加され、閲覧できなくなるでしょう。 さらに深刻なのは、業務用ソフトウェアが使えなくなる被害です。サービスが停止されてしまい、業務の遂行が不可能な状態に陥ります。 デスクトップには、感染したことと、暗号化の解除には身代金の支払いが必要なことが表示されます。身代金を支払わなかった場合、暗号化されたデータは閲覧できません。

自社PCが影響を受けているかの確認方法

データが暗号化されていなくても、自社PCが影響を受けている可能性があります。複数の方法でPCをチェックし、安全に使えるかどうか確認しましょう。

通信ログでの確認方法

まず確認するのは、DNSサーバーのクエリログです。WannaCryについてのドメイン名の記録がされていないか、チェックしましょう。 ファイアウォールのログからも、感染の有無を確認できます。自動で拡がっていくときに、445/tcpポートを使って、自動生成したIPアドレスにアクセスしようとするからです。 そのため、ファイアウォールのログに、自動生成されたと思われるランダムなIPアドレスで445/tcp接続が記録されていると、WannaCryの影響が疑われます。

IOC情報を利用したスキャンでの確認方法

脅威がそこに存在する記録をIOC情報といいます。PCに残る記録をチェックして感染機器かどうか判別するのです。 まず、チェックするのが、イベントログです。WannaCryが入り込むと、サービスのインストールが始まります。すると『イベントID 7045』でインストールが記録されている可能性があるのです。 セキュリティログも確認しましょう。『イベントID4688』の取得を設定していれば、関連するプログラムの実行の痕跡が残っているかもしれません。 WindowsOSの動作をイベントログに記録するツール『Sysmon』のログにも履歴が残る可能性があります。

感染機器を追跡する方法

感染元になったPCから445/tcp接続で拡がっていく特徴があるため、感染したPCが見つかったら、感染元PCを特定し隔離しなければいけません。そのためには、感染機器の追跡をします。 ただし、セキュリティログを確認しても、ログオン成功・失敗・試行、どのログも記録されていません。 そこで、追跡には通信ログをチェックします。もしくは、端末のセキュリティ対策に使用されるEDR製品のスキャンで、感染機器を見つけられることもあるでしょう。Sysmonツールのログで、445/tcp接続を追跡するのも有効です。

まとめ

ランサムウェアとワームの機能を併せ持つWannaCryは、PCのデータを暗号化するだけでなく、自動的に感染拡大していきます。 そのため、侵入が疑われる場合には、感染元を特定し適切に隔離してください。解説した特徴・感染の確認方法・追跡方法を参考に、正しく対処しましょう。

紹介動画

企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。

セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。

「法人向けOCNサービスとは」関連情報

新サービス! OCN光 IPoEサービス

OCN光 IPoEサービス 標準プラン

従来サービスから2倍の帯域設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離
快適なインターネット利用環境を実現

  • 法人向け設計

  • 従来サービスから2倍の帯域設計!

  • 固定IPアドレス利用可能

OCN光 IPoEサービス ワイドプラン

標準プランから3倍の帯域設計(従来サービスの6倍)
Windows Updateによる通信を
そのほかの業務用の通信から分離。
安定した通信が可能

  • 標準プランから3倍の帯域設計

  • Windows Updateによる通信をそのほかの業務用の通信から分離

OCN光 IPoE vUTMセット

IPoEインターネット接続とクラウド化されたUTMをセットで提供。アップデートや保守はNTT Comが行うため、常に最新のセキュリティ対策を実現。
クラウド利用時のセキュリティ対策にも最適

  • インターネット接続とセキュリティ対策 セットで提供

  • 専門スキルを有する人材不要

  • 常に最新のセキュリティ対策を実現

通信事業者向けローミングサービス

OCNバーチャルコネクトサービス(IPoE接続)

NTT東日本・西日本が提供するIPoEに対応した「フレッツ 光ネクスト」ならびに光コラボレーション回線を、事業者さまの独自ブランドでIPoE方式のインターネット接続サービスが提供できます。

ご検討中のお客さま

ご検討にあたり、ご不明点などはお電話もしくは、お問い合わせフォームで承ります。お気軽にお問い合わせください。

お電話によるお問い合わせ

0120-003300

受付時間:9:00~17:00
(土・日・祝日・年末年始を除く)

このページのトップへ